网络安全快照:CISOs更幸福,但Dev团队仍然缺乏安全的编程技能

了解所有关于CISO的工作满意度。另外,NIST考虑其网络安全框架的主要改造。同时,努力开发安全的应用程序是真实的。然后看看山姆大叔计划如何使用AI和ML提高网络安全。和更多!

深入六事介意1月20日当周的顶部。

1 - CISO工作满意度达到3年高

不要计数CISOs那些不能得到满足。

520 CISOs的一项调查发现,工作满意度在2022年,74%的受访者感到“有点”或“非常”满意,高于2021年的69%,从2020年的45%。

CISO报告”的“2022年国家从药剂研究和Artico搜索还发现,尽管工作满意度提高,44%正在考虑换工作“在不久的将来。”

^{(来源:“CISO的2022状态报告”从药剂研究和Artico搜索,2023年1月)}

那么CISO工作满意度的支柱是什么呢?

• 补偿
• 安全预算
• 职业发展
• 执行官的可见性
• 组织支持

在这五个元素,满意度最低的是最密切相关的金钱:预算和补偿。

”还有一群CISOs他的企业还没有完全意识到的临界安全,因此,还没有赶上市场水平的薪酬和预算水平,把CISOs不满意,“Artico搜索创始人史蒂夫Martano说博客。

为更多的信息关于如何保持CISOs和其他高级网络安全工程师:

• ”CISOs快乐吗?”(CareerExplorer)
• ”当你退出CISO的工作吗?”(身份管理研究所)
• ”5建立信任的技巧从risk-minded CISO”(安全杂志)
• ”建议开发网络安全的领导人才”(TechTarget)
• ”当CISOs注定要失败”(社会网络)

2 -不安全的软件继续流出许多dev管道

连续释放不安全软件充满了漏洞、错误配置和其他安全缺陷是一个至关重要的问题,在很大程度上由普遍无知引起开发人员对安全编码。

本周我们有另一个提醒我们关于这个问题从研究公司企业管理协会(EMA)刚刚发布了一份报告题为“安全编码实践增长成功或零日流行?”

EMA调查129年软件开发人员后发现,多数都在努力开发安全软件,因此不断推出不安全的应用程序,为攻击者提供大量唾手可得。

这里有重要发现从报告:

• 超过一半的受访机构还没有完全集成安全软件开发生命周期(SDLC)。
• 几乎70%的组织的sdlc缺少重要的安全流程。
• 只有25%是采用“左移位”策略嵌入安全早到发展的过程。

的一项重要建议报告:组织应该为他们的开发人员提供安全培训,其中大多数几乎得不到指导安全编码在学校。

更多信息安全软件开发:

• ”OWASP安全编码Practices-Quick参考指南”(OWASP)
• ”“S”的词:前端开发人员如何拥抱安全”(新栈)
• ”一个实际的方法转移走了”(成立)
• ”前4获得SDLC的最佳实践”(TechTarget)
• ”安全代码的最佳实践”(密歇根州立大学)

视频

安全软件开发框架:一个行业和公共部门的方法(RSA会议)

新准则下增强软件供应链安全EO 14028(RSA会议)

3 -斜方ATT&CK中钢协更新映射框架

美国网络安全基础设施安全机构(CISA)已经修改了”最佳实践横切ATT&CK映射”指南,并补充新平台的信息,扩大覆盖面的Linux和macOS,和重新定义数据源和检测。

导游,首先发表在2021年中期,现在也建立了更多的奇偶校验矩阵之间的工业控制系统,移动和企业,地址解析偏见和映射错误。

所以你是否一直使用它已经或没有检查出来,现在是一个很好的时间来看看中钢协的“横切ATT&CK映射的最佳实践。“该指南旨在帮助安全分析师对手行为映射到框架,这是一个知识库的攻击者的策略和技术。

通过“明确的指导和例子,”导游显示网络后卫如何使用横切ATT&CK框架”的原始数据分析和报告更全面地完成,“中钢协称博客2021年6月宣布该指南。

更多信息:

• 主教法冠ATT&CK主页
• ”横切ATT&CK框架是什么?”(TechTarget)
• ”横切ATT&CK框架的角色变化”(社会网络)
• ”如何横切Engenuity ATT&CK评估工作”(SC杂志)
• ”主教法冠ATT&CK框架:理解攻击方法”(社会网络)

视频

主教法冠ATT&CK框架(斜方)

Threat-Informed防御是什么?(斜方)

主教法冠ATT&CK:好处和挑战(TechTarget)

4 -业务和网络领导人仍然难以沟通

这里我们有沟通的失败。

根据世界经济论坛的“2023年全球网络安全前景”报告,安全领导人必须做得更好解释商业同行面临的网络威胁他们的组织,因为不清楚沟通阻碍努力减少网络的风险。

而企业高管更清楚现在比一年前的重要性应对网络威胁,网络安全领导人“仍”表达的影响网络风险使用“语言,他们的商业伙伴的充分理解和可以行动,”报告写道。

具体来说,网络安全领导人使用技术和费解的语言,和分配太多数据和没有足够的战略见解,根据该报告。

建议进一步弥合这种沟通差距包括:

• 采用“通用语言”表示使用度量网络安全数据,可以理解商业领袖和物质,董事会成员和其他非技术派对。

• 实现组织变更“嵌入”讨论网络整个业务的风险,使这些谈话更加流畅和有效的。

• 使商业领袖负责建立运营网络需求和优先事项,加强组织的网络安全。

其他研究报告,基于151年全球商业和网络领袖的调查:

• 43%的受访者认为网络可能会严重影响他们自己的组织在未来两年。

• 被调查者选出业务连续性(67%)和声誉损失(65%)作为最高的两个cyber-risk担忧。

• 大多数网络领导人(93%)和商业领袖(86%)认为这是“中等”或“非常”可能会出现“灾难性”网络事件在未来两年由于全球地缘政治不稳定。

可能性有多大,地缘政治不稳定将导致深远的,灾难性的网络事件在未来两年?

^{(来源:世界经济论坛的“2023年全球网络安全前景”报告,2023年1月)}

有关更多信息,请查看完整的报告,突出了,评论,建议和新闻发布会上从世界经济论坛,以及覆盖现代外交,ComputerWeekly,帮助网络安全和Infosecurity杂志。

5 -中钢协网络威胁和国土安全部应对新的AI和毫升

美国政府计划开发新一代网络安全平台旨在更快、更有效地分析和化解发展网络攻击通过使用人工智能(AI)和机器学习(ML)。

项目,被称为中国钢铁工业协会先进的机器学习分析平台(CAP-M),将由中国钢铁工业协会和美国国土安全部(DHS)。

一个版本的项目被称为CyLab在2021年首次亮相。预计建成后,CAP-M允许中钢协用户更好的准备和应对威胁:

• 分析网络数据使用先进技术
• 处理用例和开展实验,目前遥不可及

多重云的计划包括了创建沙箱环境中,中钢协用户将培训和实验工作,以及进行数据分析的研究方法和工具与人工智能和ML的能力。

“尽管威胁和危害继续发展,CAP-M将为中钢协提供的功能不断创新准备和应对他们,“读取项目描述本月出版。

教训CAP-M将与其他政府机构共享,学术界和私营部门。

更多信息:

• ”中钢协,国土安全部科技理事会制定网络安全分析的生态系统”(ExectiveGov)
• ”美国政府是构建一个AI沙箱应对网络犯罪”(TechRadar)
• ”国土安全部和中钢协进入毫升网络安全沙箱游戏”(网络安全连接)
• ”国土安全部,中钢协构建基于ai网络安全分析沙箱(注册)

CyLab:高级分析环境保护关键基础设施(CISA)

6 - NIST酝酿更大的变化,其网络安全框架

美国国家标准与技术研究院(NIST),这是在更新的过程中其NIST (CSF)网络安全框架,本周公布的“CSF 2.0概念文件,“概述领域可能做出重大变化框架,基于输入已收到。

如果您的组织,像很多人一样,使用CSF帮助锚和告知你的网络安全流程和策略,你可能想要给这篇论文阅读和发送NIST任何想法、问题和建议。你在3月3日之前提交您的反馈。

有关更多信息,请查看覆盖率社会网络和NextGov以及这些NIST资源:

• NIST网络安全框架2.0简报
• ”更新NIST - CSF之旅2.0网络安全框架”
• ”NIST寻求输入更新网络安全框架”

视频

NIST的网络安全框架之旅(CSF) 2.0 |车间# 1

财政部外展活动NIST 2.0网络安全框架