7月26日，美国证券交易委员会最终确定了新的网络安全法规，要求上市公司在四天内披露网络安全漏洞，并提高其董事会的网络专业知识水平，以及对管理和评估网络风险的监督。该机构于2022年提出了这些规定，最终决定预计将于2023年10月做出。随着企业大规模投资数字化转型，CISO现在比以往任何时候都更应该做好准备，来鼓励其他领导者参与管理和解决网络风险。寻找最新最好的技术数字化企业世界的激烈竞争促使企业领导者不断寻找最新、最伟大的创新技术，以助力他们脱颖而出。这些技术在不同的计算时代呈指数级发展。它始于集中式大型机，然后在20世纪90年代过渡到微型计算机和个人电脑。然后是互联网时代，再之后是2000年

AI正在改变我们做几乎所有事情的方式——无论我们走到哪里，机器都在执行过去由人类完成的任务。这些AI驱动的实例涵盖了从自动驾驶汽车到客户服务机器人的各个领域，这些机器人必须在人类上线之前进行导航。在网络安全领域，AI已迅速成为攻击者的朋友和力量倍增器。无论你喜欢与否，将机器视为队友已成为既定现实，CISO必须学会接受，但他们在接受AI伙伴之前应该问一些问题。这个概念并不新鲜。2019年，一个由65名协作科学家组成的国际团队就该主题提出了819个研究问题，目的是“提供一个研究议程以供协作研究人员调查设计的机器队友的预期效果。”毫无疑问，来自协作科学家团队的一些研究要点被纳入了美国国防部“负责任的

不可接受的信息安全事件：PositiveTechnologies 案例研究在首席信息安全官和高层管理代表的共同努力下，PositiveTechnologies 公司形成并建立了自己的防御战略。随着业务的发展，公司成功地从大量抽象的网络风险转变为三个关键的不可接受的信息安全事件：1.         在产品中引入恶意代码。供应链攻击对所有软件开发人员来说都是潜在的危险。攻击者在 IT 公司的产品中注入恶意代码后，可以访问客户的基础设施。这将对公司声誉造成负面影响。2.         经常账户资金被盗。因网络攻击而损失任何金额的资金都是令人不快的事件。被盗这一事实本身就表明攻击者现在可以访问活期

在本文中，乔治城大学应用智能项目和研究生网络安全项目的兼职教授CharlesBrooks谈到了零信任原则、身份访问管理和托管安全服务对有效的网络安全的重要性，以及AI、ML和跟踪工具等新兴技术的实施将如何增强供应链的安全。 CISO们认为他们有足够的数据保护措施，但他们在过去的一年中已经处理了许多敏感数据的丢失问题。你是如何调和这种明显的矛盾的?尽管采取了保护措施，但数据仍会丢失，这并不奇怪。我们都在网络安全方面迎头追赶。互联网是在政府实验室发明的，但在私营部门实现了商业化。硬件、软件和网络最初是为开放通信而设计的。网络安全不是最初的主要考虑因素。由于互联网的连接性和商业的爆炸式增长，这种心态

随着云计算的广泛采用，许多人似乎仍然没有意识到他们正在遇到的安全漏洞，也没有意识到应该采取哪些措施来防止它们。网络安全服务商PaloAltoNetworks公司系统工程总监AmitTailor表示，云安全是可能实现的，但只有通过采取系统措施来加强云网络安全态势才能实现。不可否认的是，企业对云计算的快速采用并没有放缓。然而，即使云计算能力成熟并积累了专业知识，该技术的复杂性也会引入漏洞和错误配置，从而无意中增加了网络安全风险。网络安全服务商Unit42公司对全球数千家企业的云网络安全进行了第七次研究，该研究揭示了云计算应用程序中仍有很多未修补的漏洞。研究发现，生产中近三分之二(63%)的代码库存

在本次访谈中，PlanSource的CISODavidChristensen提出了一些策略，以帮助董事会理解和认知网络安全风险管理、战略和治理对企业的更广泛影响。采访摘录董事会成员和CISO对网络攻击风险的看法往往不一致。在你看来，造成这种差异的主要原因是什么?立场不同是董事会成员和CISO并不总是一致的根本原因。董事会成员通常对企业的目标、战略和整体风险前景有更广泛的看法;CISO则负责评估和缓解网络安全风险。这些立场上的差异导致了不同的优先事项和风险评估。然而，当董事会成员和CISO对网络攻击风险的看法不一致时，通常是由于董事会成员缺乏网络安全专业知识，无法理解主题的复杂性以及CISO在与

生成式AI是攻击者用来创建和发起基于身份的攻击的新武器。CrowdStrike总裁MichaelSentonas在最近的一次采访中表示，“攻击者正在不断调整他们的间谍技术，寻找利用端点和身份交叉点的漏洞。这是当今人们需要应对的最大挑战之一。George(CrowdStrike首席执行官)和我在RSA2023大会上做的黑客攻击演示，就是为了展示身份和复杂性方面的一些挑战。我们将端点与身份和用户正在访问的数据联系起来的原因，是因为这是一个关键问题。如果你能解决这个问题，你将能解决一个企业面临的很大一部分网络问题。”今天的深度伪造和假托明天的自动化和有弹性的攻击一些深度伪造(deepfakes)攻击

过去三年一直受到动荡变化的推动——尤其是在涉及组织的技术结构方面。意想不到的全球大流行大大加速了数字化转型(DX)和无国界劳动力，迫使企业快速推进他们原定需要数年才能完成的项目。这些长达数年的项目开始在数月甚至数周内完成，极大地推动了行业向前发展，但也强调了网络安全必须交织在这些转型的结构中以建立运营弹性。在此期间，网络安全转变为组织的竞争优势，而不仅仅是成本中心——导致许多董事会开始更加关注安全投资和指标，并优先考虑结果。不可预见的大流行情况、加速的DX和灵活的工作——再加上乌克兰的地缘政治冲突——证明CISO不仅需要防范网络犯罪分子日益复杂的攻击，还需要跟上网络犯罪的速度。通过正确的安全措

过去三年一直受到动荡变化的推动——尤其是在涉及组织的技术结构方面。意想不到的全球大流行大大加速了数字化转型(DX)和无国界劳动力，迫使企业快速推进他们原定需要数年才能完成的项目。这些长达数年的项目开始在数月甚至数周内完成，极大地推动了行业向前发展，但也强调了网络安全必须交织在这些转型的结构中以建立运营弹性。在此期间，网络安全转变为组织的竞争优势，而不仅仅是成本中心——导致许多董事会开始更加关注安全投资和指标，并优先考虑结果。不可预见的大流行情况、加速的DX和灵活的工作——再加上乌克兰的地缘政治冲突——证明CISO不仅需要防范网络犯罪分子日益复杂的攻击，还需要跟上网络犯罪的速度。通过正确的安全措

如果企业不主动应对安全的倦怠问题，预计在未来两年内，网络安全部门将出现相当大的变动。在Gartner于2月22日发布的一项预测显示，到2025年，将近一半的企业安全负责人将更换工作，其中25%完全是由于多种与工作相关的压力因素导致。根据Gartner首席分析师DeeptiGopal的说法，网络安全专业人员普遍面临着“不可持续的压力水平”。对于CISO和其他安全经理来说，担任替罪羊角色所带来的精神和情感影响不仅促使他们产生离职的想法，甚至还会跳出当前的职业。长期以来，整个行业对网络安全的需求都没有得到满足。根据2022年ISC的预估，到2025年，网络安全专家的人才缺口将达到350万。即使科技行