CISO 一直在努力闡明基于風險的決策的重要性，并發現為組織創建風險偏好聲明是使 IT 風險管理與業務目標保持一致的最有效工具。創建簡單、實用的風險偏好聲明，可以使 CISO 打破安全團隊和不同業務單元之間存在的脫節。這是 Gartner 預計將在 2019 年影響 CISOs 的七大安全和風險管理趨勢之一。

[[269053]]

一、SRM管理者持續發布以業務成果為導向的實用的風險偏好聲明，有效提高了利益相關方的參與度

為應對當前的安全形勢，風險管理逐漸提上日程，現在已經不僅僅是管理好漏洞那么簡單了，還包括戰略、市場、供應商、內控、財務、資源優化等多方面的風險(作為一個合規的 CIO，這些應該都有一定的了解。記得 Gartner 的一篇文章提到過 CIO 應該盡可能的參與到 CEO 和董事會的會議中去，能夠向 CEO 和高層建議 IT 方面的一些有價值和創造性的建議，而不是等著上邊來分派工作，每天只是搞搞 IT 和安全。)一些大型甲方已經開始建立自己的風控體系，尤其是電商公司，目前面對比較頭疼的就是 DDoS 攻擊、APT、0day、薅羊毛以及社工。如何應對這些風險將成為未來幾年企業安全的重中之重，而且前幾天的《網絡安全漏洞管理規定(征求意見稿)》也提到了要做好風險管理。

這里所提到的風險偏好，類似金融行業投資者的投資偏好，主要反映企業對于安全的一個導向和重要指導方針，如何應對安全、預算是否充足、是否愿意向安全投資、能夠或愿意接受的風險水平是怎樣的?首先做好這些基礎工作，才能開展后續各項部署、計劃以及實施和監督改進。最后，也是最為關鍵的一點，不管你擁有多么先進的技術、多么高端的人才或是多么強大的合作伙伴，如果利益相關方不關心安全，那么其實各位也不要太費心去做安全，其本身就是一種自上而下的治理方法，沒有上層支持和推動，安全工作不會創造任何價值。

二、對威脅檢測與響應功能的關注使得SOC部署和優化的熱度再次上升

SOC 吹了有好多年，目前真正可以拿來作為最佳實踐的案例卻不多，介于目前攻防回合制過家家的打法(你黑我一下，我防你一手，我再找洞，你再修補)，預計這種僵持的局面可能會持續很久，何時能夠打破僵局，出現一種新的安全防護手段將是關鍵。

既然還身處這樣的環境，那么就事論事，必須做好當前的安全工作。從市場預測來看，SOC 已經不算新鮮，市場真正關注的是威脅檢測與響應，非傳統的態勢感知，哪些都是吹出來的，目前還沒有真正可稱為態勢感知的系統。結合如今 0day 黑產地下亂竄，APT 和釣魚放長線，社工和羊毛黨隨處可見的時代，檢測和響應的及時性和準確性是關鍵，能夠第一時間組織損失，這是企業最為關心的事。

三、領軍企業利用數據安全治理框架來確定數據安全投資的優先級

隨著《GDPR》出臺，一年來效果顯著，確實起到了一定的約束效力。但對于企業來說，并沒有幾家公司能做好數據安全，目前除了加密就是 DLP，全是被動手段，距離真正的數據治理還有很大差距。前些年提出的數據生命周期，是一個比較好的概念和理論框架，雖然費時費力，但從長遠來看，企業越大，數據治理的必要性就越強，不做是不可能的。那么既然早晚都要做，不如早些起步，以免海量數據堆積起來再想開始就真的難了，只是一個數據分類分級就需要大量人力投入。

四、受需求和生物識別技術可用性以及基于硬件的強認證方式驅動，無密碼認證開始引領市場

為何無密碼認證會引領市場，其實想想也是一種趨勢，就好比云一樣。舉個例子，一個人在多個平臺會擁有多個賬號，目前不可能做到一賬通，未來 10 年怕也是不可能。那么，每個平臺對應的賬號都有密碼要求，有些還好，可能 6 位就可以，也不限制復雜度，而有些平臺安全策略較高，要求至少 8 位，且必須包含某些復雜字符，那么接下來問題來了。一個人加入擁有 10 個賬號，如果所有賬號都用一個密碼，肯定不安全;如果大多數賬戶密碼不同，那么要記住這些密碼對于一般人來說有些困難，不少人會記在本上或是存在一個文本里，那么這又存在安全隱患，被泄露只是時間問題。所以，無密碼登錄必然是未來的趨勢，通過生物識別配合隨機機制認證(類似手機掃碼登錄，不過比這要復雜一點)，這是相對安全而且也是用戶希望的。

未來幾年，無密碼認證服務可能會擁有非常廣泛的市場份額。

五、安全廠商增值服務提供持續增長，以幫助客戶獲取更多短期價值并提供技能培訓

Gartner 最近一直強調客戶體驗，如何做好大客戶服務，可見未來市場信息類服務會越來越多，那么哪家做得好，用戶口碑好，就是最核心的競爭優勢。拋開傳統服務，安全廠商開始持續開發增值服務，之前看到的 XaaS 就是其中的一個例子，不只是 IaaS、 PaaS、 SaaS，云上整體解決方案，說白了，你只要說一句我家系統要上云，好了，其他您甭管嘞，廠商全給你做好，從前期需求、方案、遷移、部署、上線、測試、安全、運維，您只要掏錢跟我提需求就 OK。這是 Gartner 在今年 3 月提出一種新的云上服務方式。

六、云計算已成為主流平臺，領軍企業不斷投資和完善自己的云安全能力

云平臺稱為趨勢已成必然，由于信息系統量級，需要逐步遷移，但以目前全球國家大型云服務提供商的服務水平來看，暫時可能還難以提供全方位的支持。阿里云，去年多次故障，嚴重影響客戶;騰訊云，對于技術問題一刀切，客戶滿意度降低;亞馬遜云，數據泄露，外加幾年光纜被挖斷，部分地區服務中斷;以上只是運維方面的問題，在安全方面，各家也還是采用堆疊式被動防御，提供一堆安全產品，客戶自行選擇購買，雖說是云平臺，高端大氣，未來趨勢，但依舊沒有創新，和傳統網絡安全也沒太大本質區別。何時能夠由被動轉為真正的主動式防御，真正為客戶著想，安下心來做好安全，這時才能成為成熟的云計算平臺。

七、CARTA 安全戰略在傳統安全市場開始嶄露頭角

最近兩年，自從 Gartner 提出 CARTA 這個詞以后，就一直在主推它。什么是 CARTA，這里簡單說一下。

CARTA：Continuous Adaptive Risk and Trust Assessment，持續自適應風險與信任評估。Gartner 推出了一個稱作 CARTA 的戰略方法，強調要持續地和自適應地對風險和信任兩個要素進行評估。

• 風險，是指判定網絡中安全風險，包括判定攻擊、漏洞、違規、異常等等。持續自適應風險評估是從防護的角度看問題，力圖識別出壞人(攻擊、漏洞、威脅等)。說到風險，我認為是信息安全中一個很關鍵的詞。現在我們更多聽到的是威脅、數據，譬如以威脅為核心、數據驅動，等等，以風險為核心感覺過時了一樣。其實，安全還真是要時時以風險為核心!數據、威脅、攻擊、漏洞、資產，都是風險的要素和支撐。我們檢測攻擊，包括高級攻擊，最終還是為了評估風險。
• 信任，是指判定身份，進行訪問控制。持續自適應信任評估是從訪問控制的角度看問題，力圖識別出好人(授權、認證、訪問)。
• 自適應，就是指我們在判定風險(包括攻擊)的時候，不能僅僅依靠阻止措施，我們還要對網絡進行細致地監測與響應，這其實就是 ASA 自適應安全架構的范疇。另一方面，在我們進行身份與訪問控制的時候，也不能僅僅依靠簡單的憑據，還需要根據訪問的上下文和訪問行為進行綜合研判，動態賦權、動態變更權限。
• 持續，就是指這個風險和信任的研判過程是持續不斷，反復多次進行的。CARTA 強調對風險和信任的評估分析，這個分析的過程就是一個權衡的過程。天平很形象地闡釋了 “權衡” (Balance) 一詞。權衡的時候，切忌完美 (Perfect)，不能要求零風險，不能追求 100% 信任，否則業務就沒法開展了。好的做法是不斷地在 0 和 1 之間調整。

CARTA 能夠從運行、構建和規劃三個維度(反著講)來分別分析客戶的業務系統如何運用 CARTA 戰略方法。這里最厲害之處是 Gartner 將幾乎所有他們以往定義的技術細分領域都囊括其中，而且十分自洽。

運行，自適應訪問和自適應保護訪問，就是從信任的角度去進行訪問控制；保護，就是從風險的角度去進行防御。

自適應保護其實就對應了 Gartner 的自適應安全架構。

在談及保護的時候，Gartner 提到了一個響亮的觀點：利用縱深分析(Analytics indepth)和自動化來進行保護。

• 縱深分析：這是一個從縱深防御演進而來的術語，強調了隨著安全問題逐漸變成大數據問題， 而大數據問題正在轉變成大分析問題，進而縱深防御也逐漸變成了縱深分析。縱深分析就是要對每個縱深所產生的大量數據進行分析研判，動態地去進行風險與信任評估，同時還要將不同縱深的數據進行融合分析。而所有這些分析，都是為了更好的檢測，而檢測是屬于防護的一環(跟阻斷、響應一起)。
• 自動化：在安全保護中，自動化的本質是為了為快速的響應。

總結

最后，以安全基礎工作為結尾，在 Gartner2018 十大安全項目就提出了，企業如果想搞這些比較新的項目之前，要先看看自己的基礎安全做得如何，其中包括：

• 已經有了較為先進的 EPP (Endpoint Protection Platform，端點保護平臺)，具備諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能;
• 已經做好了基本的 Windows 賬戶管理工作;
• 已經有了 IAM (Identity and Access Management 的縮寫)，即 “身份識別與訪問管理”，具有單點登錄、強大的認證管理、基于策略的集中式授權和審計、動態授權、企業可管理性等功能。
• 有了常規化的補丁管理;
• 已經有了標準化的服務器/云工作負載保護平臺代理;
• 具備較為強健的反垃圾郵件能力;
• 部署了某種形式的 SIEM 或者日志管理解決方案，具有基本的檢測/響應能力;
• 建立了備份/恢復機制;
• 有基本的安全意識培訓;
• 具備基本的互聯網出口邊界安全防護能力，包括 URL 過濾能力;

各位，這些工作是否都已經做到做好了呢?

參考資料：

• 《Gartner Top 7 Security and Risk Trends for 2019》原文：https://www.gartner.com/smarterwithgartner/gartner-top-7-security-and-risk-trends-for-2019/
• 《Gartner 2019 十大安全項目》原文：https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projectsfor-2019/

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文