从《CISO生存指南》看CISO如何生存

对CISO来说，缺乏跨身份访问管理（IAM），缺乏身份和管理治理（IGA），以及缺乏特权访问管理（PAM）的统一平台，是诸多痛点。国外安全专家表示，这也是科技初创公司未来所需关注的重点。

指南强调，目前的 IAM 和相关解决方案需要手动调整才能适应客户环境，因此这就增加了摩擦，也在安全风险不断增加而需要更大效率时增加了周期。当前市场的安全挑战在增加，云基础设施授权管理也逐渐成为客户支出优先考虑的重点。指南发现许多受访者都在积极利用云安全提供商的本地产品，同时云基础设施权利管理（CIEM）也正在制定中期路线图。

另一方面，指南认为，初创企业需要“返璞归真”。与其热衷于用一些时髦的、特立独行的缩写词，不如使用稳定、可扩展的架构，以及维持对最终用户体验的创新，这就能与仍在向混合和云基础设施过渡的CISO建立联系。报告明确了这一结果，即很多CISO 都特别讨厌缩写，尤其是安全和身份识别行业的缩写。

相关研究人员表示：“对CISO来说，每周都会出现一个新的身份类别/缩写，但相应的使用案例或技术差异却让人望而却步。这种趋势迫使 CISO 需要不断审查和解读这些所谓的新类别，但最终却发现这些类别其实不过是现有解决方案的翻版。”

因此指南建议，一种更受欢迎的应对缩写泛滥的方法是关注核心用例，比如适应性应用程序访问、特权身份或开发人员访问，并优先展示差异化，像部署的简易性、覆盖的广度和丰富的整合等。

而随着数字企业的发展，组织需要在身份识别道路上站稳脚跟，找到混合兼容的解决方案，以此来保护SaaS，并将传统架构重组到无密码平台。指南考察了初创公司如何在一些领域里推动身份和零信任领域的创新，比如无密码和连续访问、聚合身份验证/治理/特权访问、端到端的多云身份检测和响应、持续的SaaS应用程序安全、账户接管和会话劫持预防、活动和云目录安全，等等。

指南中包含了一份特别委托的IDG报告结果，该报告的数据来自15个不同行业的100名IT安全决策者。结果显示，85%的IT决策者认为，相比其他安全解决方案更重视IAM投资；而超过三分之一的受访者会投资Identity以降低安全成本，他们大部分人都会被日益复杂的环境要求所驱使。

而当被问及他们的组织在选择下一代身份平台会优先考虑哪些标准时，21%的受访者表示平台要易于集成；53%的受访者认为，身份改变是公司未能实现IAM目标的首要原因。

指南指出：“随着数字企业的范围和规模不断扩大，通过访问这些资产的身份来保护所有资产的挑战变得越来越复杂。通过和相关领域的新兴科技初创公司合作，思科将寻求积极主动的方式来兑现承诺：只要它们之间能够联通，就能受到保护。”

指南研究人员表示，在数字时代，企业很难从大量数据中提取价值，因此现代的CISO肩负着“既是守门员又是推动者”的任务，他们要同时平衡数据保护和数据使用。

安全负责人要将庞大的数据领域划分为可管理的重点领域，以促进数据的安全和有效使用。可将其归结为四个支柱：数据协作、数据可靠性、数据隐私管理和数据保护。虽然只有一些支柱在CISO的预算范围内，但所有支柱都是确保现代企业安全运行所必需的。

孤岛数据和过时的访问控制使数据治理变得复杂，并限制了数据协作。数据目录等技术允许所有业务部门在分布式数据上应用数据治理控制。相比之下，数据协作工具希望消除数据访问的瓶颈，并能在不影响数据安全性的情况下提高生产率。

指南提出，在当今全球互联的商业环境中，数据安全和协作存在诸多挑战。Cummins股份有限公司的全球CISO Diego Souza表示：“作为一家价值数十亿美元的全球领先动力解决方案提供商，我们制造柴油、天然气、混合动力、过滤器和发电机。我们拥有500+分销商和7500+经销商，所组成的网络为超过190个国家的客户提供服务。因此对我们来说，确保敏感信息受到保护，防止潜在的数据泄露是一项艰巨的任务。”

此外，生成式AI和GPT技术的出现也带来了关于数据隐私和安全的新问题，不断变化的员工动态也会对组织内的协作和信息共享产生影响。因此企业必须仔细监控这些运营问题，以确保始终保持数据安全和协作。

而除了上述提到的挑战之外，在当今的商业环境中，组织还有大量的数据协作机会。比如COVID所推动的远程工作的兴起，使得整个行业具有更大的灵活性，同时也迎来了一系列企业解决方案。在康明斯，预测性维护、空中更新、远程监控与诊断等技术的发展，使安全团队能够更好地优化性能，同时简化操作，提高生产率。而有了正确的战略，企业可以利用外部和内部创新的机会，同时确保数据质量、安全性和协作。

另一方面，指南也表示，CISO需要平衡保护数据和促进创新与生产力的需求。他们可以通过采用基于风险的安全方法，也可以使用安全自动化和协调，又或者是采用零信任安全模型，以及可以建立安全意识和责任的文化来实现这一目标。

人工智能、机器学习、区块链、量子计算和5G等新兴技术可以通过多种方式帮助CISO保护组织及其数据。这些技术可用于自动化安全任务、分析数据、存储和跟踪数据，并提高安全解决方案的性能。此外，云计算、微分段和零信任安全也有助于提高组织的安全性。但需要注意的是，没有任何单一技术可以提供完全的安全保障。CISO需要采用分层安全方法，结合各种技术，以创建全面的安全态势。

指南表示，随着敏捷开发DevOps创造了更快速的软件开发周期，企业安全性也迎来了最薄弱的环节：软件供应链。但令人欣慰的是，70%的受访者表示自己会优先考虑保护软件供应链，96%的受访者将使用或正在考虑相关的解决方案。

根据2022年Verizon数据泄露报告，去年62%的入侵事件源于软件供应链中的漏洞利用。这些事件导致了破坏性较高的网络攻击，不仅影响了企业业务，也影响了与企业合作的供应商。比如Log4j允许攻击者远程接管计算机，通过插入恶意代码，攻击者可引发成千上万的系统攻击或勒索软件。

如今，90%的IT负责人都在使用开源代码，而这些代码大多是在他们的控制范围之外开发的。与此同时，根据一份报告，98%被分析的应用程序都包含了开源软件库，这将大大扩展威胁范围。

指南指出，传统解决方案无法识别在整个软件供应链生命周期中所埋下的各种威胁，虽然它们可以评估代码在某个时间点的状态，但它们无法解释软件开发过程的迭代性质。因此，在控制软件供应链的传播风险时，组织需要战略性地思考软件供应链，专注于能够快速、持续地识别、管理和解决风险，比如使用代码漏洞和扫描、开源治理、交付管道态势管理和第三方风险管理，以帮助缓解不同方面的软件供应链风险。

电信巨头软银的CSO Gary Hayslip对此表示：“我认为这个行业需要一个统一的平台，能够通知用户在供应链上出现的威胁，比如哪些供应商受到了影响，哪些漏洞被利用，哪些补丁可用，等等。我认为市场应该朝着这个方向发展，因为统一的软件供应链解决方案是消除这些疑难杂症的最高效的途径。”

指南表示，三年内，近95%的工作负载会部署于云端，这一比例是两年前的三倍。Gartner预计，到2023年底，80%的组织机构将采用混合云，云采用率将高达60亿美元，这将超过所有企业IT支出的45%。

相对应地，攻击者们也会纷纷转向云端。有证据表明，88%的IT和网络安全专业人士报告称，他们在云原生应用和基础设施上遭受了攻击。因此，随着云使用的急剧增长，云安全管理从未像现在这样具有预见性，这也增加了对专用云安全解决方案的需求。可见，在多云组织中，云环境带来了新的复杂性和挑战，这让安全防御者暴露在多重威胁之下。以下是一些可能会导致云威胁的因素：

指南指出，许多组织面临的最重要问题是配置错误，同时许多组织也缺乏检测安全漏洞或处理云事件的专门知识。虽然许多解决方案可以指出安全卫生方面的差距，但这些解决方案在检测“某事是否已经发生，发现了什么，在哪里发现”的能力上仍然欠缺。

此外，CSP（云服务提供商）和云安全工具往往会提供过多的日志和警报，使得具有价值的情报难以从噪音中分离出来。所以指南提出，基于传统方法的检测和响应工具不足以满足云中全新架构的需求，企业更需要像CDR（云检测和响应）这样的定制解决方案作为CIRA（云调查和响应自动化）技术的一部分，这才能让安全运营团队拥有自动化、可视化、简化云事件分类的能力，并能通过快速响应将攻击影响降至最低。

对于思科所发布的《CISO生存指南》，特别是在身份管理、软件供应链管理、数据安全、云环境方面，国内安全专家如此建议。

知乎相关专家“ji ant”表示，解读思科发布的《CISO生存指南》，需要从几个方面来理解：

总的来说，思科的《CISO生存指南》是一份非常有价值的报告，它深入探讨了当前企业面临的安全挑战，提供了实用的应对策略和建议，并展望了未来的趋势。对于负责企业安全的高级管理人员来说，这是一份非常值得阅读的报告。

乐信信息安全中心总监刘志诚表示：“关于这个材料其实思科有两份，一是投资部门联合投资机构的调研报告，也就是我们今天评论的内容；另一份是产品部门securityx出具的CISO生存指南的建议，这也可以看看。考虑到中美安全环境的差异，未必关注点一致，但也不算什么影响。”

对于身份管理，刘志诚认为除了关注企业员工身份外，客户身份，合作伙伴员工身份，以及如何将它们纳入统一的管理，是必须考量的内容。据爆料，这次国家级攻防演练中出局的企业几乎全和物联网（IOT）相关，这让我们不得不反思账号的管理不能局限在人的账号层面，机器（设备，传感器、执行器）的身份管理同样需要关注。而我们喊了这么多年“安全以人为本”的口号也需要反思，在CPS（物理虚拟系统）融合日益加剧的今天，机器安全需要上升到一定的高度。

此外，供应链安全是近年来的热点话题之一，除了中美贸易战引起的可用性风险，以及供应链投毒和供应链漏洞修复之外，更受关注的是开源组件的安全。刘志诚不止一次讲过，数字化的本质是应用系统自主开发模式，相对于商业套件由系统供应商保障软件安全，自主开发的软件研发过程中的安全管理日益重要。当然，相对于适应性广的商业系统，自主开发更关注敏捷和持续发布，从SSDLC模式过渡到DevSecOps模式是一种必然。工具集成、自动化和系统化是研发安全的重心，而开源组件在其中的重要性如何强调都不为过。开源组件的安全不仅是漏洞的检测、修复流程，更重要的是在引入，自定义应用，生命周期管理的流程和审核控制机制，可信制品库结合编排能力的集成是一个创新方向。

“我昨天还在跟一个厂商安全负责人聊安全数据协同这件事。安全厂商总想着做个全家桶，提出一揽子解决方案，但问题是，这么多安全厂商百花齐放能力各有所长，全家桶自然并不总是最优的，如果客户选择当然想选最好的。另外客户的遗留系统已经多年建设，各厂商安全产品共存，成本考虑也难以替换为一家的方案。从这个维度上，做全家桶一揽子解决方案的厂商未免有点一厢情愿。当然，从中小企业安全托管服务（MSSP）的维度，倒也存在一定市场。”

刘志诚表示，这个问题其实和安全数据协同密切相关，为什么数据不协同，为什么难以实现安全产品的互联互通，本质上是竞争的问题。当功能（算法）和数据搅和在一起的时候，难以拆解就变成了一体化竞争，这个时候谈兼容，互联互通，是难以摆平利益争端的。

软件定义一切（SDX）的核心就是把功能（算法）数据拆开，安全也要走这条道路。竞争体现在功能（算法）层面，数据是标准化的、兼容的，在数据层面上的兼容和互联互通，解决数据协同的问题。云计算（算力）是把安全厂商卖设备的算力、算法、数据做了拆分，再做了数据的拆分，是解决安全厂商在数字化时代生存的核心命题。

关于云的安全系列产品，刘志诚指出，围绕资产、漏洞、工作负载环境，以及应用环境的检测、监控、预警、响应延伸的CWPP、CSPM、CNNAP、CIEM、CDR，均是传统安全概念产品在云端场景的实现和应用。在公有云普及的行业和场景中应用比较普遍，私有云场景的解决方案相对多元。传统安全产品的转型和应用也比较多，在管理层面的多云整合和统一运营存在商业机会。

最后，刘志诚说道：“概念满天飞的同时，要回归本质，从资产、风险和控制措施的角度关注要点。控制措施对应的产品与解决方案如何实现整合、统一、协作是CISO始终应该关注的重点。乱花渐欲迷人眼，浅草才能没马蹄，安全的未来还早呢！”

招银云创上海分公司负责人陈欣炜表示，身份管理一直是容易忽视和容易满足的点。目前的身份鉴别手段依然比较单一，哪怕是多因子限制也有很多突破手段，更没有上升到商业间谍的层面，为合规而合规，为鉴别而鉴别的情况比较多。在未来的几年，随着重视程度的加深，可能会有更多的发展。

而供应链继数据安全之后，成为下一个监管重视的部分，已经有诸多监管针对供应链开展了检查活动。而且今年的重大活动中，供应链攻击也成为一个重要选择方向，因此这个细分安全行业可能会快速崛起。

在数据协作方面，陈欣炜表示，这更像一个业务概念，在目前国内的形势属于荆棘中前行，暂时还没有看到前路的状态。