top of page

國外科技業者CIO分享5個資安準備與觀點

2024-01-18

說資安新聞網
新聞來源:

Omer Grossman是CyberArk的全球首席資訊長,關於2023年3件資安威脅情勢,促使他對於2024年有5個身為資安長保護企業組織的觀點分享。

這是第三篇2024資安的預測,前面兩篇分別透過資安廠商的情資威脅中心分析或是服務客戶經驗所進行的觀察,進而分享2024的資安預測,第一篇來自Fortinet 公布《2024全球資安威脅預測》; 第二篇是Seagate 分享2024科技與資料儲存趨勢的觀察,第三篇的內容與其說是資安預測,更可形容為是擔任科技產業一名資訊長CIO(Chief Information Officer,CIO)其歷經2023年的資安情勢後,對今年資安準備與觀點的分享。


Omer Grossman是身分安全全球資安服務廠商CyberArk的全球首席資訊長。他於一月在部落格裡寫了一封信,關於2023年3件資安威脅情勢,促使他對於2024年有5個身為資安長保護企業組織的觀點分享。


Omer Grossman表示影響他對於2024年身為CIO的思考,來自於去年的3件資安威脅情勢,分別是軟體供應鏈(Software Supply Chain)、GenAI的技術成熟度曲線與採用率(GenAI’s Hype Cycle and Adoption),以及全球政治經濟的不確定性(Global Political and Economic Uncertainty)。


軟體供應鏈

企業間供應鏈的關係,之所以可以如此協調順暢,來自於彼此間的信任,因此信任成為關鍵的因素,同樣的也成為駭客組織利用的手段,破壞企業對外合作夥伴的信任,包含第三方軟體( Third-party software )的使用、供應商關係等。例如2020年底,網路監控產品SolarWinds Orion系統的資安威脅事件,Grossman文中也舉例去年年初VoIP IPBX軟體開發商3CX為例,3CX程式被駭客植入藏了木馬病毒,連帶讓其Window及macOS的用戶受到病毒的感染。


GenAI的技術成熟度曲線與採用率

對於身為技術專家Grossman,近幾年生成式人工智慧(Generative AI,GenAI)的快速竄起、創新的技術源源不絕的現象,他也表示其心情既興奮也不安,不安的是擔心被有心人士將GenAI當作犯罪的工具,所幸全球似乎也正視其可能會有的憂心,美國於去年10月簽署一份關於推動與治理人工智慧(AI)的行政命令,以及去年12月初,歐盟推出人工智慧法案(AI Act)達成政治協議,這也是全球第一個AI綜合法令框架,用於規範企業組織、系統供應商等。


全球政治經濟的不確定性

Grossman在文中也提到,去年世界各地因為受到地緣政治衝突的影響,許多重大關鍵基礎設施和供應商的生態系統均遭受攻擊破壞,至今尚未停歇,對於即將舉行全國選舉的美國、印度和英國,她們均是世界五大經濟體之一的國家,對於可能會有的國家民族行為或是網路犯罪分子間,所產生的攻擊意圖或是破壞活動都是令人擔憂與要有所警覺的。



Grossman身為資安長保護自身企業安全,提供2024年5個觀點


  • 定期評估供應商的安全能力

    定期評估供應商,宛如企業組織定期的進行企業資訊安全檢測,這個動作不只是讓企業組織當下可以安心運作,同時也是幫企業組織買保險,以防萬一。


  • 切記,人工智慧系統的定義不僅限於 GenAI

    Grossman提醒我們,人工智慧系統包括 GenAI 以及使用神經網路的系統和長期部署建構的設備,因此2024 系統的評估、保護和管理等至關重要。他建議企業要考慮簽訂合約協議時,在協議中能允許企業組織基於風險的治理和風險管理政策,可以定期審查供應商針對從任何身分,使用人工智慧的產品和系統。


  • 回到基礎面並做好它(Go back to the basics and do them right.)

    此建議的重點是改善與回到基礎面,員工培訓、組織安全的基本觀念、長期定時做系統的威脅檢測與回應、提高網路安全技能等,無論科技如此再進步與新穎,基礎功夫是王道。


  • 實施強而有力的零信任策略

    零信任之旅,現在您應該是在路上,請不要再等待,猶豫不決了。


  • 將員工視為最大的資產,而不是最薄弱的環節(Treat your people as the greatest asset, not the weakest link.)

    Grossman說,我們可以擁有世界上所有的工具來保護我們的組織,但最有價值的資產是人——網路安全專家、員工、承包商和合作夥伴等等。一定要珍惜、培育他們。歸根究底,一切都與人有關。


Omer Grossman於部落格最後還說的一段耐人尋味的話,他說:「作為資訊長和技術領導者,我建議您先退後一步,找到平衡,在解決新問題時,請不要著急。」


這一篇則是第三篇2024資安的預測,希望第三篇從一名科技產業資訊長(CIO)觀點與建議的觀點角度,提供您具體方向,保護您的企業組織、公司員工與合作夥伴。


相關閱讀: [2024資安預測 3-1] Fortinet 公布《2024全球資安威脅預測》

[2024資安預測 3-2] Seagate 分享2024科技與資料儲存趨勢的觀察

bottom of page