网络安全快照:CISOs更幸福,但Dev团队仍然缺乏安全的编程技能
![CISOs更幸福但Dev团队仍然缺乏安全的编码技巧](http://www.yyueer.com/sites/default/files/images/articles/CISOs%20Are%20Happier%20but%20Dev%20Teams%20Still%20Lack%20Secure%20Coding%20Skills.jpg)
了解所有关于CISO的工作满意度。另外,NIST考虑其网络安全框架的主要改造。同时,努力开发安全的应用程序是真实的。然后看看山姆大叔计划如何使用AI和ML提高网络安全。和更多!
深入六事介意1月20日当周的顶部。
1 - CISO工作满意度达到3年高
不要计数CISOs那些不能得到满足。
520 CISOs的一项调查发现,工作满意度在2022年,74%的受访者感到“有点”或“非常”满意,高于2021年的69%,从2020年的45%。
CISO报告”的“2022年国家从药剂研究和Artico搜索还发现,尽管工作满意度提高,44%正在考虑换工作“在不久的将来。”
(来源:“CISO的2022状态报告”从药剂研究和Artico搜索,2023年1月)
那么CISO工作满意度的支柱是什么呢?
- 补偿
- 安全预算
- 职业发展
- 执行官的可见性
- 组织支持
在这五个元素,满意度最低的是最密切相关的金钱:预算和补偿。
”还有一群CISOs他的企业还没有完全意识到的临界安全,因此,还没有赶上市场水平的薪酬和预算水平,把CISOs不满意,“Artico搜索创始人史蒂夫Martano说博客。
为更多的信息关于如何保持CISOs和其他高级网络安全工程师:
- ”CISOs快乐吗?”(CareerExplorer)
- ”当你退出CISO的工作吗?”(身份管理研究所)
- ”5建立信任的技巧从risk-minded CISO”(安全杂志)
- ”建议开发网络安全的领导人才”(TechTarget)
- ”当CISOs注定要失败”(社会网络)
2 -不安全的软件继续流出许多dev管道
连续释放不安全软件充满了漏洞、错误配置和其他安全缺陷是一个至关重要的问题,在很大程度上由普遍无知引起开发人员对安全编码。
本周我们有另一个提醒我们关于这个问题从研究公司企业管理协会(EMA)刚刚发布了一份报告题为“安全编码实践增长成功或零日流行?”
EMA调查129年软件开发人员后发现,多数都在努力开发安全软件,因此不断推出不安全的应用程序,为攻击者提供大量唾手可得。
这里有重要发现从报告:
- 超过一半的受访机构还没有完全集成安全软件开发生命周期(SDLC)。
- 几乎70%的组织的sdlc缺少重要的安全流程。
- 只有25%是采用“左移位”策略嵌入安全早到发展的过程。
的一项重要建议报告:组织应该为他们的开发人员提供安全培训,其中大多数几乎得不到指导安全编码在学校。
更多信息安全软件开发:
- ”OWASP安全编码Practices-Quick参考指南”(OWASP)
- ”“S”的词:前端开发人员如何拥抱安全”(新栈)
- ”一个实际的方法转移走了”(成立)
- ”前4获得SDLC的最佳实践”(TechTarget)
- ”安全代码的最佳实践”(密歇根州立大学)
视频
安全软件开发框架:一个行业和公共部门的方法(RSA会议)
新准则下增强软件供应链安全EO 14028(RSA会议)
3 -斜方ATT&CK中钢协更新映射框架
美国网络安全基础设施安全机构(CISA)已经修改了”最佳实践横切ATT&CK映射”指南,并补充新平台的信息,扩大覆盖面的Linux和macOS,和重新定义数据源和检测。
导游,首先发表在2021年中期,现在也建立了更多的奇偶校验矩阵之间的工业控制系统,移动和企业,地址解析偏见和映射错误。
所以你是否一直使用它已经或没有检查出来,现在是一个很好的时间来看看中钢协的“横切ATT&CK映射的最佳实践。“该指南旨在帮助安全分析师对手行为映射到框架,这是一个知识库的攻击者的策略和技术。
通过“明确的指导和例子,”导游显示网络后卫如何使用横切ATT&CK框架”的原始数据分析和报告更全面地完成,“中钢协称博客2021年6月宣布该指南。
更多信息:
- 主教法冠ATT&CK主页
- ”横切ATT&CK框架是什么?”(TechTarget)
- ”横切ATT&CK框架的角色变化”(社会网络)
- ”如何横切Engenuity ATT&CK评估工作”(SC杂志)
- ”主教法冠ATT&CK框架:理解攻击方法”(社会网络)
视频
主教法冠ATT&CK框架(斜方)
Threat-Informed防御是什么?(斜方)
主教法冠ATT&CK:好处和挑战(TechTarget)
4 -业务和网络领导人仍然难以沟通
这里我们有沟通的失败。
根据世界经济论坛的“2023年全球网络安全前景”报告,安全领导人必须做得更好解释商业同行面临的网络威胁他们的组织,因为不清楚沟通阻碍努力减少网络的风险。
而企业高管更清楚现在比一年前的重要性应对网络威胁,网络安全领导人“仍”表达的影响网络风险使用“语言,他们的商业伙伴的充分理解和可以行动,”报告写道。
具体来说,网络安全领导人使用技术和费解的语言,和分配太多数据和没有足够的战略见解,根据该报告。
建议进一步弥合这种沟通差距包括:
- 采用“通用语言”表示使用度量网络安全数据,可以理解商业领袖和物质,董事会成员和其他非技术派对。
- 实现组织变更“嵌入”讨论网络整个业务的风险,使这些谈话更加流畅和有效的。
- 使商业领袖负责建立运营网络需求和优先事项,加强组织的网络安全。
其他研究报告,基于151年全球商业和网络领袖的调查:
- 43%的受访者认为网络可能会严重影响他们自己的组织在未来两年。
- 被调查者选出业务连续性(67%)和声誉损失(65%)作为最高的两个cyber-risk担忧。
- 大多数网络领导人(93%)和商业领袖(86%)认为这是“中等”或“非常”可能会出现“灾难性”网络事件在未来两年由于全球地缘政治不稳定。
可能性有多大,地缘政治不稳定将导致深远的,灾难性的网络事件在未来两年?
(来源:世界经济论坛的“2023年全球网络安全前景”报告,2023年1月)
有关更多信息,请查看完整的报告,突出了,评论,建议和新闻发布会上从世界经济论坛,以及覆盖现代外交,ComputerWeekly,帮助网络安全和Infosecurity杂志。
5 -中钢协网络威胁和国土安全部应对新的AI和毫升
美国政府计划开发新一代网络安全平台旨在更快、更有效地分析和化解发展网络攻击通过使用人工智能(AI)和机器学习(ML)。
项目,被称为中国钢铁工业协会先进的机器学习分析平台(CAP-M),将由中国钢铁工业协会和美国国土安全部(DHS)。
一个版本的项目被称为CyLab在2021年首次亮相。预计建成后,CAP-M允许中钢协用户更好的准备和应对威胁:
- 分析网络数据使用先进技术
- 处理用例和开展实验,目前遥不可及
多重云的计划包括了创建沙箱环境中,中钢协用户将培训和实验工作,以及进行数据分析的研究方法和工具与人工智能和ML的能力。
“尽管威胁和危害继续发展,CAP-M将为中钢协提供的功能不断创新准备和应对他们,“读取项目描述本月出版。
教训CAP-M将与其他政府机构共享,学术界和私营部门。
更多信息:
- ”中钢协,国土安全部科技理事会制定网络安全分析的生态系统”(ExectiveGov)
- ”美国政府是构建一个AI沙箱应对网络犯罪”(TechRadar)
- ”国土安全部和中钢协进入毫升网络安全沙箱游戏”(网络安全连接)
- ”国土安全部,中钢协构建基于ai网络安全分析沙箱(注册)
CyLab:高级分析环境保护关键基础设施(CISA)
6 - NIST酝酿更大的变化,其网络安全框架
美国国家标准与技术研究院(NIST),这是在更新的过程中其NIST (CSF)网络安全框架,本周公布的“CSF 2.0概念文件,“概述领域可能做出重大变化框架,基于输入已收到。
如果您的组织,像很多人一样,使用CSF帮助锚和告知你的网络安全流程和策略,你可能想要给这篇论文阅读和发送NIST任何想法、问题和建议。你在3月3日之前提交您的反馈。
有关更多信息,请查看覆盖率社会网络和NextGov以及这些NIST资源:
视频
NIST的网络安全框架之旅(CSF) 2.0 |车间# 1
财政部外展活动NIST 2.0网络安全框架
相关文章
- 网络安全快照
- DevOps
- 风险管理
- NIST