提高供应链韧性，管理网络风险的关键挑战

提高供应链韧性，管理网络风险的关键挑战

Table of Contents

1. 💡引言
2. 💻供应链韧性及网络风险管理的趋势
3. 📈政府首席信息安全官 (CISO) 的两个主要挑战
4. 🔍确保可信赖的供应链所做的投资
5. 🔄迈向2023年的改变
6. 🌟将为政府CISO带来关注的新技术
7. ❓FAQ

💡引言

在本次讨论中，我很荣幸邀请到英特尔公司的高级首席技术官兼高级首席工程师Steve Oren加入我们，一起探讨供应链韧性和网络风险管理的话题。

💻供应链韧性及网络风险管理的趋势

作为我们进入2023年的两个主要趋势，供应链风险管理和零信任架构无疑是政府首席信息安全官（CISO）们所关注的焦点。近年来，随着执行命令、安全要求以及来自商业软件和开源软件（如log4j）的威胁的不断出现，供应链风险管理备受瞩目。他们正在致力于获得更好的可见性，以及在供应链的各个环节上应用更好的风险控制和缓解措施。与此同时，零信任架构也成为当前的焦点，他们需要规划并采纳一种零信任的方法来进行安全和风险管理。这就需要他们制定计划并开始执行，然后解决一系列问题，如操作流程、扩展能力等，以便在2023年超越规划的阶段，进入实施的阶段。

📈政府首席信息安全官 (CISO) 的两个主要挑战

作为确保更可信赖的供应链的一部分，政府和行业正在进行多方面的投资。我们看到行业、软件开发人员以及供应链生态系统正在努力采用流程、程序、标准和文档等，以提供对供应链和开发生命周期的更大透明度、可见性和控制。对于政府而言，投资集中在技术、程序和流程上，以便消化这些信息，并将其纳入现有的采购控制措施中，实现规模化，并能够进行漏洞映射，评估当前和未来的风险，并与最新的可见性相结合。当然，如果你获得了这种可见性，就不能只停留在那里，而是要利用这些信息采取行动。因此，政府机构以及整个行业将共同合作，不仅要就正确的工件达成一致，还要讨论如何消化这些工件，并将其推向与政府规模相适应的大小以及大型行业。

🔍确保可信赖的供应链所做的投资

这是个很好的问题，它需要全面投资。我们看到行业、软件开发人员和供应链生态系统都在努力采用流程、程序、标准和文档等来提供更大的透明度、可见性和控制，以保证供应链的可信赖性。而政府方面的投资将主要用于技术、采纳这些信息的程序和流程，以及将其与现有的采购控制措施相结合，以实现规模化。政府还将投资于漏洞映射，以评估当前和未来的风险，并采取控制措施，以确保部署到企业中的软件和服务更加可靠。这种投资非常重要，因为一旦你获得了可见性，如果你不利用这些信息，你就无法获得好处。因此，我们将看到政府机构和整个行业共同合作，不仅就正确的工件达成一致，还就如何使用这些工件以及如何将其推广到政府规模和整个行业提供支持。

🔄迈向2023年的改变

在我们进入2023年之际，我们看到一个关键领域的良好迹象，而且这也是我们在过去30年的网络安全进化和革新中所见到的。我们不能丢弃过去，而是要审视如何发展我们的安全姿态。其中一个关键的事情是我们一直在努力改进的风险管理流程，包括采用NIST（国家标准和技术研究院）的网络安全框架以及更好的风险管理框架，并将其应用于整个企业和任务中。当他们开始关注零信任并考虑如何实现这些概念时，真正的关键在于将这些角色结合起来。我们需要做出更好的风险决策，而关键的变化和投资领域将是从二元的风险决策转变为动态决策。也就是说，我们需要关注当前的风险状态，并根据实时情况应用相应的控制措施，并在风险状况发生变化时具备灵活性。这正是零信任的核心所在，它不仅仅依赖于购买某种特殊技术来解决问题，而是如何以更动态、实时的方式实现这些控制措施。这也是2023年及以后的重要投资领域，以使我们的风险决策和风险管理变得更加灵活。随之而来的将是诸如机器学习和人工智能工具、更好的自动化等技术的应运而生，以帮助我们扩展这种动态的风险管理过程。

🌟将为政府CISO带来关注的新技术

在应对不断增加的威胁和新的网络安全要求的背景下，有两个关键领域的新技术将引起政府CISO的关注。首先是将机器学习和人工智能应用于企业风险管理。目前，许多人将重点放在使用AI和机器学习来提升威胁检测和威胁预防的能力上，在企业规模部署时，其好处将得到更好的体现。随着企业自动化的规模化，我们将能够根据实时的风险管理框架采取相应的缓解措施，并利用机器学习来提供效率，甚至将其扩展到边缘的规模。因此，我们将会看到大量的采用和投资，以研究将机器学习和人工智能应用于更好地运营企业的方法。另一个令人兴奋的关键领域是机密计算。它可以改变游戏规则，关键是要保护数据的安全。它与零信任的核心有关，即确保安全控制措施始终跟随你关心的数据或资源。机密计算可以在运行时为数据应用安全控制措施，无论数据存储在云端还是分布式边缘设备上，都能保证安全。因此，机密计算无疑是一项具有变革性的技术，它使我们能够将安全策略应用于数据所处的位置，而无需担心数据的暴露。这两个关键领域的技术将有助于改变CISO们管理安全和风险姿态的方式，从2023年开始。

❓FAQ

问：政府CISO在面对日益增长的威胁和新的网络安全要求时，将面临哪些挑战？

答：一个重要的挑战是如何改进风险管理流程，从二元的风险决策转向动态决策。这需要将角色整合起来，通过实时情况应用相应的控制措施，并在风险状况变化时具备灵活性。此外，如何利用新技术如机器学习和人工智能、机密计算等处理威胁也是一个挑战。

问：零信任架构的实施过程中有哪些关键因素需要考虑？

答：在实施零信任架构时，关键因素包括制定适用的控制措施、将现有采购控制与新架构结合，以及应对不断变化的风险状况。此外，流程的灵活性和能够在实时情况下应用控制措施也是成功实施零信任的关键。

问：如何确保供应链的可信赖性？

答：确保供应链的可信赖性需要行业、软件开发人员和供应链生态系统共同投入资源，并采用流程、程序、标准和文档等措施提高透明度、可见性和控制。政府方面需要投资于技术、流程和程序，以获得更好的可见性，并将其与现有采购控制措施相结合。

文章长度: 25000 字