近日，Gartner亞太區(qū)安全與風(fēng)險(xiǎn)管理峰會在線上召開，會上發(fā)布了2021年安全與風(fēng)險(xiǎn)管理八大趨勢。這八大趨勢集合了商業(yè)、市場以及技術(shù)等不同領(lǐng)域的動態(tài)，預(yù)計(jì)會對整個(gè)行業(yè)產(chǎn)生深遠(yuǎn)影響，顛覆現(xiàn)狀。其中，身份安全、遠(yuǎn)程訪問安全位列頭部趨勢。

Gartner宣稱，隨著新冠疫情加速數(shù)字化業(yè)務(wù)轉(zhuǎn)型，同時(shí)傳統(tǒng)網(wǎng)絡(luò)安全實(shí)踐也備受挑戰(zhàn)，安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須積極應(yīng)對這八大趨勢，幫助企業(yè)迅速實(shí)現(xiàn)重塑。

開幕主題演講：安全與風(fēng)險(xiǎn)管理的最新趨勢

Gartner副總裁Peter Firstbrook

在Gartner的主題演講中，Gartner副總裁Peter Firstbrook討論了2021年安全和風(fēng)險(xiǎn)管理的主要趨勢，強(qiáng)調(diào)了安全生態(tài)系統(tǒng)中正在進(jìn)行的戰(zhàn)略轉(zhuǎn)變，這些轉(zhuǎn)變尚未得到普遍認(rèn)可，但有望對整個(gè)行業(yè)產(chǎn)生廣泛的影響并具有很大的顛覆潛力。

Peter Firstbrook表示，這些趨勢反映了所有企業(yè)組織面臨的持續(xù)不斷的全球挑戰(zhàn)。他提到：“我們面臨的第一項(xiàng)挑戰(zhàn)就是技能缺口，很多企業(yè)很難找到和聘用安全專業(yè)人員。”與此同時(shí)，2021年安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者還面臨更多其他挑戰(zhàn)，比如說復(fù)雜的地緣政治形勢、越來越多的全球法規(guī)、遷移出傳統(tǒng)網(wǎng)絡(luò)的工作場所和工作負(fù)載、終端和位置的激增、攻擊環(huán)境多變等。尤其是，勒索軟件和商業(yè)郵件的入侵也復(fù)雜化了挑戰(zhàn)。

這里吐槽一下Garnter的這張圖，和以往風(fēng)格完全不一樣，第一眼一種詭異的氣息迎面而來。不知道這是不是也是本次疫情推動下Gartner的“新常態(tài)”。

趨勢一：網(wǎng)絡(luò)安全網(wǎng)格

網(wǎng)絡(luò)安全網(wǎng)格是一種現(xiàn)代安全方法，包括在最需要的地方部署控制措施。網(wǎng)絡(luò)安全網(wǎng)格通過提供基礎(chǔ)安全服務(wù)以及集中式策略管理和編排功能，使諸多工具能夠協(xié)同操作，而不是在孤島模式下使用安全服務(wù)或工具。現(xiàn)在大多數(shù)IT資產(chǎn)在企業(yè)傳統(tǒng)邊界以外，網(wǎng)絡(luò)安全網(wǎng)格這種架構(gòu)可以讓組織將安全控制措施的覆蓋范圍擴(kuò)大到零散的資產(chǎn)。

趨勢二：身份優(yōu)先安全

這是多年來的理想愿景：所有用戶可以隨時(shí)隨地訪問(通常叫做“身份即新安全邊界”)。由于技術(shù)和文化轉(zhuǎn)變，加之當(dāng)前新冠疫情時(shí)期遠(yuǎn)程辦公的普遍性，該愿景已成為現(xiàn)實(shí)。身份優(yōu)先安全將身份置于安全設(shè)計(jì)的核心，與傳統(tǒng)的局域網(wǎng)邊緣設(shè)計(jì)思想大不相同。

Firstbrook表示：“SolarWinds攻擊表明了我們在管理和監(jiān)控身份方面做得不夠好。雖然企業(yè)組織在多因素身份驗(yàn)證、單點(diǎn)登錄和生物特征身份驗(yàn)證上花費(fèi)了大量金錢和時(shí)間，但在有效監(jiān)控身份驗(yàn)證以發(fā)現(xiàn)針對該基礎(chǔ)架構(gòu)的攻擊上所花的資金和時(shí)間卻少之又少。”

這句話算是總結(jié)到位了，企業(yè)花大把的金錢和精力放在采購和方案設(shè)計(jì)上，而對于落地性和效果卻很少關(guān)注，虎頭蛇尾的項(xiàng)目從未減少。我們只關(guān)注高大上的方案，新潮的技術(shù)，至于落地和效果，那是以后的事。

趨勢三：遠(yuǎn)程工作得到安全支持

據(jù)Gartner《2021 Gartner CIO Agenda Survey》顯示，現(xiàn)在64%的員工能夠在家辦公。Gartner的調(diào)查顯示，至少30%至40%的人疫情后會繼續(xù)遠(yuǎn)程辦公。對于許多組織而言，這種轉(zhuǎn)變需要重新考慮適合現(xiàn)代遠(yuǎn)程辦公場所的策略和安全工具。比如，端點(diǎn)保護(hù)服務(wù)將需要成為一種云交付的服務(wù)。安全主管還需要重新考慮用于數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)和備份的策略，以確保它們?nèi)赃m用于新的遠(yuǎn)程環(huán)境。

趨勢四：精通網(wǎng)絡(luò)(知識)的董事會

在Gartner的《Gartner 2021 Board of Directors Survey》中，許多董事將網(wǎng)絡(luò)安全評為企業(yè)面臨的第二大風(fēng)險(xiǎn)源，僅次于合規(guī)。大企業(yè)正開始在董事會層面設(shè)立專門的網(wǎng)絡(luò)安全委員會，由具有安全專長的董事會成員或第三方顧問擔(dān)任負(fù)責(zé)人。

Gartner預(yù)測，到2025年，40%的董事會將設(shè)有專門的網(wǎng)絡(luò)安全委員會，由稱職的董事會成員監(jiān)督，而今天這個(gè)比例不足10%。

可以看出安全真的是未來無論是基礎(chǔ)設(shè)施、企業(yè)還是政府部門等等的基礎(chǔ)標(biāo)配，預(yù)計(jì)未來網(wǎng)絡(luò)安全會成為一個(gè)獨(dú)立分支，不再依附于IT之下，因?yàn)槠渲匾匀諠u提升，CISO可能將直接向CEO進(jìn)行匯報(bào)。那種在運(yùn)維手下做安全的日子可能要一去不復(fù)返了。

趨勢五：安全供應(yīng)商整合

Gartner的《2020 CISO Effectiveness Survey》發(fā)現(xiàn)，78%的CISO在其網(wǎng)絡(luò)安全供應(yīng)商產(chǎn)品組合中至少有16種工具，12%的CISO至少有46種工具。組織中大量安全產(chǎn)品增加了復(fù)雜性、集成成本和人員配備要求。在Gartner最近的一項(xiàng)調(diào)查中，80%的IT組織表示它們計(jì)劃在今后三年內(nèi)整合供應(yīng)商。

Firstbrook先生認(rèn)為：“CISO渴望整合他們要處理的眾多安全產(chǎn)品和供應(yīng)商。如果擁有較少的安全解決方案，就能輕松正確地配置、響應(yīng)報(bào)警，從而改善安全風(fēng)險(xiǎn)狀況。但是，購買一種更廣泛的平臺從實(shí)施所需的成本和時(shí)間來看可能存在不足。我們建議關(guān)注長期的總體擁有成本(TCO)，作為衡量成功的標(biāo)準(zhǔn)。”

這個(gè)問題應(yīng)該是老生常談了，尤其在傳統(tǒng)企業(yè)中更是十分突出，以至于形成一種混合IT的場景，運(yùn)維非常復(fù)雜，成本也很高。感覺這里Gartner是在預(yù)示SASE這種平臺服務(wù)(當(dāng)然也可以私有化部署)，或者是目前各家大廠主推的零信任框架解決方案，可以明顯減少復(fù)雜供應(yīng)鏈和產(chǎn)品類別的問題。這方面AWS、Zscaler都是比較好的例子。

趨勢六：增強(qiáng)隱私計(jì)算

增強(qiáng)隱私計(jì)算技術(shù)正在興起，該技術(shù)可以在數(shù)據(jù)使用時(shí)保護(hù)數(shù)據(jù)，而不是在數(shù)據(jù)靜止或移動時(shí)保護(hù)，以確保安全的數(shù)據(jù)處理、共享、跨境傳輸和分析，即使在不受信任的環(huán)境下也可滿足需求。這項(xiàng)技術(shù)越來越多地實(shí)施在欺詐分析、情報(bào)、數(shù)據(jù)共享、金融服務(wù)(如反洗錢)、制藥和醫(yī)療保健等領(lǐng)域。

Gartner預(yù)測，到2025年，50%的大型組織將采用增強(qiáng)隱私計(jì)算，用于在不受信任的環(huán)境或多方數(shù)據(jù)分析使用場景中處理數(shù)據(jù)。

這里應(yīng)該是指多方計(jì)算、聯(lián)邦學(xué)習(xí)、差分隱私、同態(tài)加密等技術(shù)的應(yīng)用，因?yàn)檫@些技術(shù)目前的應(yīng)用情況也比較初級，那么這里的增強(qiáng)隱私計(jì)算具體是指加強(qiáng)這些技術(shù)的應(yīng)用還是增強(qiáng)技術(shù)本身的能力，可能要等官方后續(xù)的說明了。

趨勢七：泄露和攻擊模擬

如今出現(xiàn)了泄露和攻擊模擬(Breach and attack simulation,BAS)工具，可提供連續(xù)的防御態(tài)勢評估;相比之下，滲透測試所提供的的年度積分評估可見性就比較有限。當(dāng)CISO將BAS納為其常規(guī)安全評估的一部分時(shí)，可以幫助團(tuán)隊(duì)更有效地發(fā)現(xiàn)環(huán)境中的安全缺口，并能更高效地確定安全計(jì)劃的優(yōu)先級。

趨勢八：管理機(jī)器身份

機(jī)器身份管理旨在建立和管理與其他實(shí)體(比如設(shè)備、應(yīng)用程序、云服務(wù)或網(wǎng)關(guān))交互的機(jī)器的身份可信。現(xiàn)在組織中的非人類實(shí)體越來越多，這意味著管理機(jī)器身份已成為安全策略的一個(gè)重要組成部分。

三種方法獲得對安全意識計(jì)劃的支持

Gartner資深分析師Richard Addiscott

從高管獲取安全意識計(jì)劃的投資取決于有說服力的理由和強(qiáng)大的談判技巧。支持可能會因?yàn)楦蟮捻?xiàng)目爭奪關(guān)注而被忽略或優(yōu)先考慮。在本次會議中，Gartner的高級分析師Richard Addiscott討論了三種可以幫助相關(guān)人員為計(jì)劃獲得組織支持的方法。

要點(diǎn)：

• 缺乏針對安全意識計(jì)劃的管理支持，會對安全團(tuán)隊(duì)在整個(gè)組織中滲透其關(guān)鍵信息的能力產(chǎn)生重大影響。
• 需要在要實(shí)現(xiàn)的目標(biāo)與業(yè)務(wù)受眾和組織目標(biāo)之間建立明確聯(lián)系。
• 提供近期事件的具體案例，以幫助構(gòu)建故事中的信息;無論是關(guān)于公司，競爭對手，還是時(shí)事或其他行業(yè)報(bào)告。
• 使用可衡量的數(shù)據(jù)來傳達(dá)信息。擁有可量化的數(shù)據(jù)點(diǎn)對于闡明程序的有效性并以聽眾可以理解的描述來說明至關(guān)重要。
• 知道如何很好地講故事可能是決定安全意識信息是否被接收，理解和認(rèn)可的關(guān)鍵因素。

建立信息安全工作戰(zhàn)略

Gartner顧問高級總監(jiān)Beth Schumaecker

在數(shù)字時(shí)代支持業(yè)務(wù)需要信息安全人員擁有比過去更加多樣化的技能。在本次會議中，Gartner咨詢部門高級主管Beth Schumaecker概述了成功所需的技能和能力。

要點(diǎn)：

• 關(guān)鍵是要根據(jù)方向以及未來的人才需求如何支持業(yè)務(wù)戰(zhàn)略，而不是短期的人才預(yù)測，來制定安全工作戰(zhàn)略。
• 定期與業(yè)務(wù)合作伙伴進(jìn)行討論，討論他們的業(yè)務(wù)重點(diǎn)和目標(biāo)，而不是安全的重點(diǎn)。以安全為中心的對話可能會錯(cuò)過更大的目標(biāo)，并限制當(dāng)前和未來人才需求的視野。
• 通過分析業(yè)務(wù)戰(zhàn)略并全面了解安全技能組合，確認(rèn)安全人才缺口。
• 解決人才風(fēng)險(xiǎn)的策略很多，包括技能提升，技能培訓(xùn)，工作輪換，外包和重新設(shè)計(jì)工作。良好的工作計(jì)劃意味著要搞清楚自己需要采用哪些策略。

Gartner的漏洞管理戰(zhàn)略構(gòu)想

Gartner副總裁Craig Lawson

漏洞管理是關(guān)鍵安全過程。但是，許多組織在優(yōu)化程序以實(shí)現(xiàn)預(yù)期結(jié)果方面都存在問題。本次會議中，Gartner副總裁Craig Lawson討論了Gartner關(guān)于漏洞管理的戰(zhàn)略構(gòu)想，并提供了有關(guān)安全主管如何在組織中實(shí)現(xiàn)這一點(diǎn)的實(shí)用性指導(dǎo)。

要點(diǎn)：

• 毫無疑問，漏洞管理可能是安全運(yùn)營中要做的最好的主動防護(hù)措施。
• 可以對漏洞程序進(jìn)行的重大變更之一就是將重點(diǎn)放在暴露在外可被利用的漏洞上。那應(yīng)該是第一目標(biāo)，它將最大化，最快速地降低風(fēng)險(xiǎn)。
• 不要考慮漏洞是否可以通過網(wǎng)絡(luò)利用或訪問，還是中等風(fēng)險(xiǎn)或高級別。您想知道的是攻擊者是否正在利用它們。
• 查看現(xiàn)有的漏洞評估解決方案，并尋求更合適的優(yōu)先級。確保它們在環(huán)境中支持新資產(chǎn)，例如云，容器和物聯(lián)網(wǎng)。如果沒有，那就改進(jìn)或更換解決方案。
• 補(bǔ)丁不是全部。它很難，也會破系統(tǒng)且花費(fèi)大量時(shí)間。制定計(jì)劃B——你的手里擁有的應(yīng)該是更多的武器而不是補(bǔ)丁。
• 如果在漏洞程序方面做得很好，則可以大大減少攻擊面。對于攻擊者而言，操作就會更加困難，因?yàn)樗噲D讓攻擊發(fā)揮作用。這是一件大事。

解決新冠病毒后世界中的遠(yuǎn)程訪問挑戰(zhàn)

Gartner分析師高級總監(jiān)Rob Smith

沒有人已對新冠病毒所帶來的遠(yuǎn)程辦公環(huán)境中的攻擊做好準(zhǔn)備。Gartner分析師高級總監(jiān)Rob Smith討論了遠(yuǎn)程訪問虛擬專用網(wǎng)如何在一夜之間成為最重要的技術(shù)之一，以及組織如何為用戶和運(yùn)營實(shí)施正確的遠(yuǎn)程訪問解決方案。

要點(diǎn)：

遠(yuǎn)程訪問虛擬專用網(wǎng)可以說是當(dāng)今安全，基礎(chǔ)架構(gòu)和運(yùn)營中最重要的技術(shù)。

隨著疫情的出現(xiàn)，員工現(xiàn)在需要虛擬專用網(wǎng)才能“進(jìn)入辦公室”。

為組織集思廣益的最佳虛擬專用網(wǎng)技術(shù)的第一步是根據(jù)四個(gè)關(guān)鍵變量定義用例：

• 用戶
• 設(shè)備
• 數(shù)據(jù)
• 位置

沒有所謂正確的遠(yuǎn)程訪問方法——企業(yè)必須了解各種解決方案的優(yōu)勢和局限性。

除非絕對必要，否則請不要使用永遠(yuǎn)在線的虛擬專用網(wǎng)。

對于偏執(zhí)的安全人員來說，虛擬桌面基礎(chǔ)架構(gòu)(VDI)解決方案是最好的。它阻止了企業(yè)數(shù)據(jù)將其發(fā)送到設(shè)備，但是，最終用戶帶寬水平對于不同位置的工作人員來說是一個(gè)潛在的告警。

對組織重要的數(shù)據(jù)進(jìn)行分類，而非試圖保護(hù)所有數(shù)據(jù)，然后根據(jù)該分類選擇適當(dāng)?shù)目丶?/p>

隱私展望2021

Gartner副總裁Nader Henein

每月都有提議，通過或推翻新的隱私法案。客戶信任取決于組織如何處理數(shù)據(jù)，因?yàn)槿绻M(fèi)者不滿意，他們很可能會考慮別家的同類服務(wù)。在這次會議上，Gartner研究副總裁Nader Henein表示，隱私不是一個(gè)一次性的項(xiàng)目，而是一個(gè)剛剛開始的正在進(jìn)行的程序。

要點(diǎn)：

創(chuàng)建一個(gè)強(qiáng)大的隱私程序意味著要了解三件事：

• 當(dāng)前的法規(guī)環(huán)境
• 支持該程序的技術(shù)能力
• 可以將控制權(quán)交還給客戶的最佳實(shí)踐

新冠病毒突顯了《通用數(shù)據(jù)保護(hù)條例》(GDPR)建立的框架的成熟度。這對全球隱私產(chǎn)生了顯著影響。

盡管對于組織來說，手動啟動隱私發(fā)現(xiàn)流程以了解其數(shù)據(jù)的復(fù)雜性很重要，但很快就會發(fā)現(xiàn)，需要自動化來實(shí)現(xiàn)規(guī)模擴(kuò)展。

隱私程序成功的一個(gè)關(guān)鍵因素是與其他組織團(tuán)隊(duì)建立伙伴關(guān)系。與首席數(shù)據(jù)官(CDO)聯(lián)系，了解正在使用的數(shù)據(jù)以及如何使用保護(hù)隱私的替代方法來支持它們。

隱私屬于個(gè)人。

當(dāng)控制要處理的數(shù)據(jù)并將其交還給消費(fèi)者時(shí)，合規(guī)性不再僅僅是目標(biāo)。它成為業(yè)務(wù)道德架構(gòu)的一部分。

在疫情期間，變革的壓力已經(jīng)增加，而這樣做的關(guān)鍵在于信任：到2023年，可以灌輸數(shù)字信任的組織將能夠參與50%以上的生態(tài)系統(tǒng)，以擴(kuò)大創(chuàng)收機(jī)會。

相關(guān)鏈接：

• https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-identifies-top-security-and-risk-management-t
• https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-security-risk-management-summit-apac-day-1-highlights
• https://www.gartner.com/en/newsroom/press-releases/2021-03-24-gartner-security-risk-management-summit-apac-day-2-highlights