31 RSSI partagent leurs priorités et prévisions de sécurité pour 2023

2022 a été une année charnière dans le paysage des cybermenaces. Avec la guerre russo-ukrainienne qui encourage les pirates informatiques des États-nations et les cybercriminels professionnels, les entreprises subissent une pression croissante pour optimiser leurs opérations de sécurité juste pour suivre le rythme.

La sécurisation de la chaîne d’approvisionnement logicielle et de l’écosystème d’applications logicielles open source, la mise en œuvre de la confiance zéro et la sensibilisation des employés aux risques d’ingénierie sociale et de tentatives d’hameçonnage ne sont que quelques-uns des endroits que les RSSI évaluent pour atténuer d’éventuelles dangers.

VentureBeat a récemment demandé aux RSSI de quelques-unes des plus grandes organisations internationales de décrire leurs principales priorités et prévisions en matière de sécurité pour 2023. Vous trouverez ci-dessous leurs actions (modifiées pour la longueur et la conception) :

Phil Venables, Google Cloud

L’accent fédéral sur la sécurisation de l’infrastructure technique nationale par rapport à l’activité destructrice augmentera en 2023. Au cours de l’année à l’avenir, je prévois de voir l’administration Biden exécuter un flux constant de politiques à la suite du décret exécutif de 2021 sur l’amélioration de la cybersécurité du pays et du mémorandum sur la sécurité nationale de 2022.

sont quelques domaines que je recommande d’évaluer en premier :

Le plus grand adversaire de la sécurité est la complexité. Par conséquent, le premier point sur lequel se concentrer est la simplification des procédures. Souvent, il y a trop de contrôles de sécurité en place sans penser aux frictions qui en résultent pour l’entreprise dans son ensemble. En simplifiant les processus, vous vous débarrassez également de quelques-uns des contrôles inutiles.

Jonathan Rau, Lightspin

La MFA basée sur le push était considérée comme l’anodin pour réduire les problèmes d’expérience utilisateur lorsqu’il s’agissait d’utiliser des coffres, une variété de application logicielle et applications d’authentification matérielle avec TOTP. Cependant, il s’est en fait révélé qu’il s’agissait d’une application faible de l’AMF, tout comme les SMS sont devenus dus aux attaques d’ingénierie sociale.

Pour 2023, un investissement financier et une analyse approfondie de la manière et du lieu de mise en œuvre de l’AMF doivent être entrepris principalement pour effectuer une MFA qui fournit un obstacle, intercepte les détails du journal et dispose de contrôles de politique basés sur les risques pour éviter que les attaques de spam MFA ne se maintiennent.

Jeff Costlow, ExtraHop

Les noms d’utilisateur et les mots de passe des comptes de réseaux sociaux individuels continuent de constituer une grande partie des vidages de données piratés. 2023 verra une augmentation des efforts de prise de contrôle de compte plus ciblés avec ces informations d’identification perdues, composées de comptes d’entreprise.

Nous avons remarqué une augmentation des accès non approuvés aux efforts et à la traîne sur nos propres comptes d’entreprise lorsque nous avons partagé des ressources liées à l’assistance Shields Up de CISA. Je pense que ce ciblage des comptes partageant des conseils pour les organisations autour des cyber-événements géopolitiques augmentera en 2023.

Andrew Obadiaru, Cobalt

Avec les ransomwares toujours la principale menace à la sécurité des données d’entreprise, les RSSI doivent donner la priorité à l’amélioration des capacités de suivi de la sécurité et au développement de défenses.

Une autre priorité absolue est l’analyse de la sécurité. La gestion traditionnelle des informations de sécurité et des événements (SIEM) basée sur des règles ne suffit plus compte tenu de l’ampleur et de la rapidité des menaces en temps réel. Se préparant pour 2023, les RSSI doivent intégrer l’analyse des informations dans le suivi de la sécurité et l’analyse des alertes.

Les questions persistantes : « Avons-nous fait tout ce que nous pouvions pour nous protéger, nous et nos consommateurs, et existe-t-il des procédures supplémentaires que nous pouvons adopter ? » m’empêche vraiment de dormir la nuit. Le fait est que nous avons mis en place un certain nombre de mesures de sécurité et nous continuerons d’évaluer l’adéquation de ces mesures.

Mike Beck, Darktrace

Chaque année, les cyberattaquants innovent pour augmenter leur capacité et leur capacité à mener des attaques.

Avec les cybercriminels motivés par le gain monétaire et les États-nations poussés par les tensions géopolitiques et la possibilité d’un événement de renseignement et causant des perturbations importantes pour les adversaires, la surface d’attaque traitée par les entreprises dans le monde continue de s’élargir. Les RSSI des entreprises internationales doivent faire face à ce contexte dans chaque décision de cybersécurité.

Dans un environnement inflationniste avec des ralentissements financiers internationaux, les RSSI vont être confrontés à plusieurs options difficiles quant à la façon dont ils construisent un programme de sécurité fiable compte tenu des contraintes budgétaires croissantes.

Beaucoup ne seront pas en mesure investir dans de grandes équipes de sécurité capables de gérer manuellement les fonctions de sécurité et devra viser l’IA en tant que multiplicateur de force. Obtenir des solutions de sécurité détaillées basées sur l’IA, y compris des services externalisés qui s’ajoutent au programme de cybersécurité, et maintenir les compétences essentielles en matière de sécurité seront les principaux objectifs du RSSI en 2023.

Bernard Brantley, Corelight

Alors que nous approchons de 2023, je crois que notre méthode actuelle d’attention au paysage de danger en progression avec une focalisation centrée sur les contrôles reste inefficace, ce que nous devons découvrir ou trouver un moyen d’établir le sens aigu de la sécurité de notre bien le plus vital : les êtres humains (réseau de personnes) dans nos organisations.

La société de sécurité conserve de nombreuses fonctions centrées sur la technologie pour déterminer le point faible structurel et protéger l’entreprise, tout en fournissant une assistance aux fonctions centrées sur les personnes de détection, de réponse et de récupération liées à un effet contradictoire.

Ryan Kazanciyan, Wiz

Déploiement à grande échelle d’une authentification multifacteur résistante au phishing — et gestion des lacunes inévitables : des incidents tout au long de 2022 ont en fait mis en évidence la nécessité de s’éloigner de SMS, TOTP et authentification multifacteur basée sur push (MFA).

L’authentification Web FIDO2 (WebAuthn) résistante au phishing est plus disponible que jamais – avec des jetons matériels, du matériel intégré comme TouchID et Windows Hey There, et la récente version de PassKeys — mais les organisations lutter contre les systèmes internes et fournisseurs qui offrent une assistance irrégulière ou incomplète pour ces systèmes.

La longue traîne des systèmes incompatibles obligera de nombreuses entreprises à continuer à prendre en charge des poches de leur environnement avec des méthodes MFA non sécurisées pendant plusieurs années à venir.

Michael Oberlaender, GoTo

GoTo s’engage à suivre et à améliorer en permanence nos mesures de sécurité, techniques et organisationnelles pour protéger les données sensibles de nos clients.

En plus de notre conformité SOC et SOC 3, nous exécutons une technique de sécurité dès la conception traitant des sauvegardes administratives, des moindres privilèges et de la gestion de l’accès à l’identité (IAM), de l’authentification multifacteur améliorée (MFA), la confiance zéro, la gestion immobilière et les capacités automatisées, qui continueront également d’être une préoccupation au cours de l’année à venir.

Avec le coût moyen des violations de données [à] un niveau record, les entreprises doivent prendre toutes les précautions pour se protéger des attaques extérieures ou des utilisateurs malveillants, et un modèle de sécurité dès la conception est un moyen efficace façon de ne laisser aucun doute.

Sounil Yu, JupiterOne

Nous avons récemment vu un certain nombre d’attaques importantes qui ont en fait exploité des implémentations MFA qui restent sensibles à ingénierie sociale. MFA n’est pas une panacée, surtout si les utilisateurs peuvent toujours être trompés en abandonnant le jeton MFA à un agresseur.

En 2023, nous devrions voir des efforts pour informer les utilisateurs sur ces attaques et des améliorations dans les implémentations MFA pour les rendre plus résistantes au phishing.

Pour reprendre l’exemple de Richard Danzig, nous sommes au régime des fruits empoisonnés en ce qui concerne notre chaîne d’approvisionnement en applications logicielles. Ce poison ne va pas disparaître, nous devrons donc apprendre à endurer et à prospérer dans ces conditions.

Connaître les dangers (grâce à des efforts tels que les SBOM) et gérer les risques (grâce à des contrôles compensatoires tels que le filtrage de sortie) seront une priorité en 2023 et dans un avenir prévisible.

Rick Holland, Digital Shadows

C’est la saison de planification 2023, et une grande partie de l’accent a été mis sur les outils de sécurité dans lesquels les RSSI devraient investir L’année prochaine. Au lieu de se concentrer sur les outils de sécurité, les RSSI doivent se concentrer sur le positionnement par rapport aux objectifs commerciaux de 2023.

Quelle est la stratégie commerciale à faire l’année prochaine ? L’entreprise va-t-elle lancer un tout nouveau produit qui générera des bénéfices substantiels nécessaires pour atteindre les objectifs de revenus ? L’entreprise va-t-elle s’étendre dans un nouvel emplacement ?

Les RSSI doivent comprendre les objectifs tactiques de l’entreprise pour l’année prochaine et rechercher des moyens de réduire les risques et de permettre les initiatives de l’organisation. Les risques organisationnels doivent également guider les priorités 2023 du RSSI. Les SEC Kind 10-K sont des ressources exceptionnelles qui décrivent les risques cruciaux pour les entreprises.

Chris Morales, Netenrich

J’ai une priorité absolue pour 2023 : être axé sur les données pour les choix de prise de risque. Mon engagement à partir de l’exercice 2023 est d’être axé sur les données avec des pratiques quantitatives de gestion des risques.

Cela implique de fournir aux unités commerciales un tableau de bord et des mesures de tendance sur l’état des possessions, des vulnérabilités et des menaces qui composent leur zone de surface d’attaque.

À partir de là, nous pouvons continuellement évaluer la probabilité de danger et l’impact sur l’organisation pour prendre des décisions éclairées sur la meilleure façon de concentrer les ressources.

Pour que cela se produise, il faut une pile de sécurité intégrée de manière sécurisée qui partage les données dans un seul lac d’informations agrégées pour mettre en danger le modèle et répondre aux préoccupations.

Pour paraphraser en mots à la mode/jargon du marché :

• Quantification des cybermenaces
• Gestion de la surface d’attaque
• Analyse de la sécurité
• Architecture maillée de cybersécurité

John Burger, ReliaQuest

La métrologie des risques est ma principale priorité pour 2023 car elle est nécessaire pour sécuriser le financement de tous mes efforts de sécurité. Et comme de nombreux RSSI en sont parfaitement conscients, de nouvelles dépenses de sécurité ne sont pas faciles à trouver.

Pour gagner de l’argent, les RSSI doivent pouvoir quantifier la menace potentielle en dollars. Bien qu’il soit souvent plus facile de mesurer l’effet produit de la perte d’une application pendant une journée, ou peut-être d’une attaque de ransomware, il est beaucoup plus difficile de mesurer la probabilité que cet impact se produise.

En 2023, je souhaite améliorer nos capacités de quantification afin que nous puissions montrer aux dirigeants le continuum entre le danger et l’argent. Par exemple, si vous acceptez cette quantité de risque, cela coûte ce montant. Si vous voulez accepter plus de danger, vous payez moins. La quantification des risques a le potentiel d’améliorer la clarté de notre communication avec l’entreprise.

Ryan Davis, NS1

Les RSSI chercheront des moyens de renforcer l’effet du service de sécurité dans un climat financier instable, sans coûts ni investissements supplémentaires considérables. Une composante tangible de cela est le développement de collaborations au sein de l’organisation.

Lorsque les RSSI et les équipes de sécurité sont en mesure d’établir des partenariats avec d’autres services, cela peut réduire les dépenses totales de protection de l’entreprise, qu’il s’agisse de traiter avec les RH dans le cadre d’efforts de sensibilisation à la sécurité à l’échelle de l’entreprise, de former des groupes de promotion de la sécurité , ou un partenariat avec le marketing pour faire de la sécurité un différenciateur de service.

Krishna Athur, Nile

Les approches de cybersécurité finiront par être la loi de demain : les RSSI doivent s’engager activement avec les autorités étatiques et fédérales pour informer les décideurs politiques et les législateurs sur les exigences en matière d’organisation et de sécurité des données afin d’influencer positivement la manière dont les nouvelles réglementations sont rédigées.

Alors que divers États évoluent à des vitesses et avec des techniques différentes, les RSSI doivent se concentrer sur le plaidoyer pour que les autorités fédérales agissent afin de créer une exigence nationale en matière de confidentialité et de défense des données personnelles.

Les RSSI doivent poursuivre leurs efforts pour ne plus compter sur leurs protocoles de sécurité. Les RSSI doivent rechercher des options et des fournisseurs qui peuvent les aider à faire passer la confiance d’un objectif difficile à atteindre à une exigence de sécurité qui est une autorité opérationnelle.

Marc Woolward, vArmour

En 2023, l’une de mes principales préoccupations est de résoudre la cybersécurité et le danger opérationnel dans la chaîne d’approvisionnement des logiciels, en particulier alors que les régulateurs continuent de promulguer une assistance sur la sauvegarde des fonctions commerciales critiques et des informations personnelles à cet endroit. De PyPI à Lapsus$, les ennemis tirent le meilleur parti des vulnérabilités des applications tierces et du fait que les organisations ne peuvent pas les arrêter.

Je m’attache à aider mes clients à comprendre leur chaîne d’approvisionnement informatique de fond en comble, qu’il s’agisse de leurs applications, de leurs circulations de données, de leur code ou de leur personnel, et à mettre en place des politiques dynamiques pour gérer.

Ce n’est qu’à travers cette vue de l’intérieur de la chaîne d’approvisionnement (via la technologie d’observabilité et une application logicielle Expense of Products) que nous pouvons examiner totalement le risque d’entreprise et le contexte qui l’entoure, choisir les stratégies de sécurité à prioriser , et après cela, fermez les vulnérabilités quotidiennes des logiciels d’entreprise dont les attaques profitent si facilement.

Nikolai Chernyy, SandboxAQ

Sandbox est passé de 20 membres du personnel à près de 100 en 2022, et nous prévoyons d’atteindre 200 à 300 en 2023. croissance de l’entreprise, il y a une pression accrue pour prendre en charge de plus en plus de plates-formes tout en maintenant la discipline de sécurité (par exemple, continuer à appliquer l’authentification unique partout).

Nous n’avons pas de périmètre, la complexité accrue des utilisateurs et de l’innovation entraîne davantage de circonstances qui peuvent s’accumuler pour permettre aux étoiles à risque de courir. Des précautions supplémentaires devraient être nécessaires pour s’assurer que la télémétrie et les échelles de modification avec les politiques d’infrastructure et de sécurité continuent d’être imposées.

Comme la taille de l’entreprise dépasse le nombre de Dunbar, nous devons rester concentrés sur le maintien d’un bon état d’esprit envers la sécurité et une culture positive où le signalement d’activités suspectes est motivé.

Brian Spanswick, Cohesity

Nos priorités reviennent sans cesse aux fondamentaux de la cybersécurité, en nous concentrant sur l’augmentation de la couverture et de l’efficacité des contrôles de sécurité de base. En examinant quelques-unes des violations les plus récentes et les plus percutantes, les agresseurs ont accès à des systèmes cruciaux et à des données sensibles en exploitant les vulnérabilités fondamentales qui existent dans la posture de sécurité.

Une priorité absolue essentielle que nous reportons à partir de l’exercice 22 est de nous concentrer en permanence sur la formation à la sensibilisation à la sécurité et l’éducation sur les attaques d’ingénierie sociale pour tous nos employés. Cela nécessite d’être une campagne afin de construire et de maintenir la mémoire musculaire nécessaire pour minimiser l’exposition directe.

Une autre préoccupation est de continuer à se concentrer sur la gestion des qualifications, ce qui inclut l’augmentation du RBAC, l’accès des moins privilégiés et la garantie de pratiques de gestion des mots de passe appropriées. Même avec le développement effectué d’année en année, c’est un endroit qui nécessite une gestion continue pour s’assurer que les changements apportés à nos environnements préservent le niveau de gestion des qualifications ciblé.

Mauricio Pegoraro, Azion

La sécurité de la chaîne d’approvisionnement des logiciels continue d’affliger les organisations. Nous prévoyons que les attaques de la chaîne d’approvisionnement deviendront plus compliquées, mais nous nous attendons également à voir des services sophistiqués mis en place pour contrecarrer ces attaques.

Avec l’augmentation des attaques de la chaîne d’approvisionnement, nous prévoyons que les CISO investiront plus vigoureusement dans la protection du cycle de vie de l’évolution des logiciels et dans le développement de programmes de gestion des correctifs formalisés pour garder les bibliothèques d’applications logicielles propres.

Le code open source est la pierre angulaire de l’innovation en matière d’avancement des applications logicielles. Nous attendons donc des RSSI qu’ils accordent la priorité à la protection du code, en particulier dans le passé.

Robb Reck, Red Canary

La compétence la plus cruciale pour un RSSI est de connaître son entreprise de fond en comble. Cela suggère de savoir comment la technologie et les données sont utilisées pour développer la valeur et d’être inclus tôt dans de nouveaux emplois. Ce niveau d’intégration est difficile et n’a pas de date de fin, il doit donc figurer en tête de liste des préoccupations de chaque RSSI pour 2023.

Cela dit, les RSSI ont d’autres priorités qui seront importantes l’année prochaine.

• La pandémie a en fait changé de façon permanente la façon dont les membres du personnel perçoivent leur travail. Tous les employeurs doivent réévaluer les attentes qu’ils placent sur leurs employés. Les RSSI devraient se demander combien de travail après les heures de travail ils attendent de leur groupe. C’est peut-être le moment de réinitialiser ces attentes et d’augmenter potentiellement les groupes avec des partenaires externes et des embauches supplémentaires.

• Les opposants sont plus efficaces que jamais pour se frayer un chemin dans les environnements et en tirer parti pour obtenir des rançongiciels, le vol de propriété intellectuelle ou d’autres fins malveillantes. Les entreprises qui ne l’ont pas encore fait se concentrent sur la mise en œuvre de processus et de technologies qui les aideront à identifier et à répondre rapidement aux ennemis qui franchissent les contrôles de sécurité de l’entreprise.

Yogesh Badwe, Druva

En 2023, les dirigeants devraient se concentrer sur la formation du personnel, l’automatisation et la recherche d’une option holistique qui unit la sécurité et la sécurité des données pour renforcer les données d’une organisation.

S’appuyer sur les personnes idéales pour vos informations peut être difficile et complexe. Comme le montrent de nombreuses circonstances où des êtres humains jouent un rôle essentiel dans une fuite d’informations ou une plage : on n’est jamais trop en sécurité.

À maintes reprises et une fois de plus, il a été démontré que l’être humain est le maillon le plus faible de la chaîne de sécurité. Pour garantir la résilience des informations à la suite d’une catastrophe ou d’une attaque, les entreprises doivent se concentrer sur la formation adéquate de leurs experts en informatique tout en les équipant des systèmes idéaux pour automatiser les processus.

Il est très important que les entreprises abandonnent l’idée que leurs équipes doivent gérer ces procédures à la main, de la sauvegarde des données chaque nuit aux systèmes de surveillance. Grâce aux systèmes sans contact, les équipes peuvent être assurées que leurs opérations et leurs informations sont toujours sécurisées, même en cas de catastrophe.

Neil Ellis, CafeX

Nous le reconnaissent et ont acheté des solutions qui surveillent, identifient et fournissent des informations sur notre environnement informatique. En tant que RSSI, le meilleur défi que je vois pour les groupes de sécurité est de savoir comment tirer parti de ces informations et réduire considérablement le temps de suppression.

Nous utilisons notre plate-forme Challo pour gérer et automatiser l’action en cas d’incident via une seule « fenêtre de verre ».  » afin que nous puissions accélérer la collaboration entre les spécialistes internes et externes, améliorer l’accès sécurisé aux données et fichiers système et automatiser les flux de travail liés aux différents types d’incidents enregistrés et signalés par les outils de surveillance.

Investir dans la réponse aux incidents a en fait résolu directement les difficultés liées à la complexité de la communauté, et a amélioré l’agilité et la posture de cybersécurité en même temps.