近日,Gartner亚太安全与风险管理峰会线上召开,会上发布了2021年八大安全与风险管理趋势。这八大趋势结合了商业、市场和技术等不同领域的动态,有望对整个行业产生深远影响,颠覆现状。其中,身份安全和远程访问安全是最热门的趋势。据Gartner称,随着COVID-19大流行加速数字业务转型,传统的网络安全实践也受到挑战,安全和风险管理领导者必须积极应对这八个趋势,以帮助企业快速重塑。开幕主题演讲:安全和风险管理的最新趋势Gartner副总裁PeterFirstbrook在Gartner的主题演讲中,Gartner副总裁PeterFirstbrook讨论了2021年安全和风险管理的主要趋势,强调了安全生态系统中的持续战略尚未得到普遍认可的转变但有望产生广泛的全行业影响和颠覆性的高潜力。PeterFirstbrook表示,这些趋势反映了所有商业组织面临的持续全球挑战。他提到:“我们面临的第一个挑战是技能差距,很多公司很难找到和雇用安全专业人员。”与此同时,2021年安全和风险管理领导者将面临更多其他挑战,例如复杂的地缘政治格局、日益增多的全球法规、工作场所和工作负载从传统网络迁移、端点和位置的激增、不断变化的攻击环境等等。特别是,勒索软件和商业电子邮件入侵加剧了挑战。在这里我要吐槽一下Garnter的这张图。完全不同于以往的风格。乍一看,一种奇怪的感觉袭来。不知道这是否也是Gartner受疫情推动的“新常态”。趋势1:网络安全网格网络安全网格是一种现代安全方法,包括在最需要的地方部署控件。网络安全网格不是在孤岛中使用安全服务或工具,而是通过提供基础安全服务以及集中策略管理和编排功能,使工具能够协同工作。现在大多数IT资产都在企业的传统边界之外,网络安全网状架构允许组织将安全控制的覆盖范围扩展到分散的资产。趋势二:身份至上的安全这是多年来的理想愿景:所有用户都可以随时随地访问(通常被称为“身份是新的安全边界”)。由于技术和文化的转变,再加上当前COVID-19时代远程工作的盛行,这一愿景已成为现实。身份优先安全将身份置于安全设计的核心,这与传统的局域网边缘设计思想有很大不同。“SolarWinds攻击表明我们在管理和监控身份方面做得不好,”Firstbrook说。“虽然组织在多因素身份验证、单点登录和生物识别身份验证上花费了大量金钱和时间,但没有办法有效地监控身份。”很少有金钱和时间花在验证和发现针对基础设施的攻击上。”这句话总结得非常到位。企业在采购和解决方案设计上花费了大量的金钱和精力,但对于实施性和效果却很少关注到,虎头蛇尾的项目从不减少。我们只关注高端解决方案和潮流技术。至于实施和效果,那是未来的事情。趋势3:远程工作有安全支持根据Gartner《2021 Gartner CIO Agenda Survey》,64%的员工现在可以在家工作。Gartner的调查显示,疫情过后至少有30%到40%的人将继续远程工作。对于许多组织来说,这种转变需要重新思考适当的政策和安全工具对于现代远程工作场所。例如,端点保护服务将需要成为云交付服务。安全主管还需要重新考虑数据保护、灾难恢复的策略y和备份以确保它们仍然适用于新的远程环境。趋势4:精通网络(知识渊博)的董事会在Gartner的《Gartner 2021 Board of Directors Survey》中,许多董事将网络安全评为企业面临的第二大风险来源,仅次于合规性。大公司开始在董事会层面设立专门的网络安全委员会,由具有安全专业知识的董事会成员或第三方顾问领导。Gartner预测,到2025年,40%的董事会将设立专门的网络安全委员会,由称职的董事会成员监督,而目前这一比例还不到10%。由此可见,安全真的是未来的基本标准配置,无论是基础设施、企业还是政府部门等。预计未来网络安全将成为一个独立的分支,不再依附于IT,因为它的重要性与日俱增,CISO很可能会直接向CEO汇报。在运维手下做安全的日子可能一去不复返了。趋势5:安全供应商整合Gartner的《2020 CISO Effectiveness Survey》发现,78%的CISO在其网络安全供应商产品组合中至少拥有16种工具,12%的CISO至少拥有46种工具。组织中的大量安全产品会增加复杂性、集成成本和人员配备要求。在Gartner最近的一项调查中,80%的IT组织表示他们计划在未来三年内整合供应商。根据Firstbrook先生的说法,“CISO渴望整合他们处理的许多安全产品和供应商。使用更少的安全解决方案,您可以轻松地正确配置它们、响应警报并改善您的安全风险状况。但是,购买更广泛的平台在实施它所需的成本和时间方面可能是不利的。我们建议关注长期总拥有成本(TCO)作为衡量成功的标准。“这个问题应该是老生常谈了,尤其是在传统企业,这样就形成了混合IT场景,运维非常复杂,成本高。感觉Gartner这里是在预言SASE的平台服务(当然可以也可以私下部署),或者目前各大厂商推崇的零信任框架方案,可以显着减少供应链和产品品类复杂的问题,AWS和Zscaler就是这方面的好例子。趋势六:隐私增强计算增强隐私的计算技术正在兴起,在数据使用时对其进行保护,而不是在静止或运动时保护数据,以确保安全的数据处理、共享、跨境传输和分析,即使在不受信任的环境中也能满足需求。这项技术越来越多地应用于欺诈分析、情报、数据共享、金融服务(如反洗钱)、制药和医疗保健领域。预测到2025年,50%的大型组织将采用隐私增强计算在非信任环境或多方数据分析使用场景中进行数据处理。这应该是指多方计算、联邦学习、差分隐私、同态加密等技术的应用,因为这些技术目前的应用还比较初级,所以这里的隐私增强计算特指加强应用这些技术还是增强了技术本身的能力,这可能还要等待官方后续的解释。趋势七:泄漏和攻击模拟现在有泄漏和攻击模拟(Breachandattacksimulation,BAS)工具,可以提供持续的防御态势评估;相比之下,渗透测试对年度积分评估的可见性有限。当CISO将BAS纳入其常规安全评估的一部分时,它可以帮助团队更有效地识别环境中的安全漏洞并更有效地确定安全计划的优先级。趋势8:管理机器身份机器身份管理旨在建立和管理、应用程序、云服务或网关)相互交互的机器的身份是可以信任的。组织中越来越多的非人类实体意味着管理机器身份已成为安全策略的重要组成部分。获得安全意识计划正确支持的三种方法Gartner高级分析师RichardAddicott从高管那里获得对安全意识计划的投资取决于令人信服的理由和强大的谈判技巧。随着大型项目争夺注意力,支持可能会被忽视或优先考虑。在本次会议中,Gartner的高级分析师RichardAddiscott讨论了三种可以帮助利益相关者为其计划获得组织支持的方法。要点:缺乏对安全意识计划的管理支持可能会对安全团队在整个组织中渗透其关键信息的能力产生重大影响。要实现的目标与业务受众和组织目标之间需要有明确的联系。提供最近发生的事件的具体例子,以帮助构建故事中的信息;无论是关于公司、竞争对手,还是时事或其他行业报告。使用可衡量的数据来传达您的信息。拥有可量化的数据点对于阐明程序的有效性并在观众可以理解的描述中对其进行说明至关重要。知道如何讲好故事可能是决定安全意识信息是否被接收、理解和认可的关键因素。制定信息安全工作战略BethSchumaecker,Gartner咨询公司高级总监支持数字时代的业务需要信息安全人员拥有比过去更多样化的技能。在本次会议中,Gartner高级咨询总监BethSchumaecker概述了成功所需的技能和能力。要点:关键是根据方向和未来人才需求如何支持业务战略而不是短期人才预测来制定安全工作战略。定期与业务合作伙伴讨论他们的业务优先级和目标,而不是安全重点。以安全为中心的对话可能会错过大局,并限制对当前和未来人才需求的看法。通过分析业务战略和全面了解安全技能组合,确定安全人才缺口。解决人才风险的策略有很多,包括技能提升、技能提升、工作轮换、外包和工作重新设计。一个好的工作计划意味着弄清楚你需要采用哪些策略。Gartner的漏洞管理战略愿景CraigLawson,Gartner副总裁漏洞管理是一个关键的安全流程。然而,许多组织在优化计划以实现预期结果方面存在问题。在本次会议中,Gartner副总裁CraigLawson讨论了Gartner的漏洞管理战略愿景,并提供了有关安全领导者如何在其组织中实施这一战略愿景的实用指南。要点:毫无疑问,漏洞管理可能是您在安全操作中可以做的最好的主动防御。可以对利用程序进行的主要更改之一是关注已暴露和可利用的漏洞。那应该是第一个目标,它将以最快的速度最大化和降低风险。不要考虑漏洞是否可以通过网络被利用或访问,或者是中等风险还是高风险。你想知道的是攻击者是否正在利用它们。审查现有的漏洞评估解决方案并寻求更合适的优先顺序。确保它们支持环境中的新资产,例如云、容器和物联网。如果不是,请改进或更换解决方案。补丁不是一切。这很难,会破坏系统并花费大量时间。制定B计划-您应该拥有更多武器而不是补丁。如果你很好地利用程序,你可以大大减少你的攻击面。对于攻击者来说,操作会更加困难,因为他是在试图让攻击发挥作用。这是一个大问题。解决后COVID-19世界中的远程访问挑战RobSmith,高级总监,分析师,Gartner没有人准备好应对COVID-19带来的远程工作环境冲击。Gartner高级分析师总监RobSmith讨论了远程访问VPN如何一夜之间成为最重要的技术之一,以及组织如何为用户和操作实施正确的远程访问解决方案。要点:远程访问虚拟专用网络可以说是当今安全、基础设施和运营中最重要的技术。随着大流行的开始,员工现在需要VPN才能“进入办公室”。为您的组织集思广益的最佳VPN技术的第一步是根据四个关键变量定义您的用例:用户设备数据位置进行远程访问没有正确的方法——企业必须了解每种解决方案的优势和局限性。除非绝对必要,否则不要使用永远在线的VPN。对于偏执的安全人员来说,虚拟桌面基础架构(VDI)解决方案是最好的。它阻止公司数据进入设备,但是,最终用户带宽水平对于不同位置的员工来说是一个潜在的危险信号。对您的组织重要的数据进行分类,而不是试图保护所有数据,然后根据该分类选择适当的控制措施。隐私展望2021Gartner副总裁NaderHenein提议每月通过或推翻新的隐私法。客户信任取决于组织处理数据的方式,因为如果消费者不满意,他们可能会考虑其他地方的类似服务。在会议上,Gartner研究副总裁NaderHenein表示,隐私不是一次性的项目,而是一项刚刚开始的持续计划。要点:创建强大的隐私计划意味着了解三件事:当前的监管环境支持该计划的技术能力将控制权交还给客户的最佳实践冠状病毒突显了《通用数据保护条例》(GDPR)成熟度所建立的框架。这对全球隐私具有重大影响。虽然组织手动启动隐私发现过程以了解其数据的复杂性很重要,但很快就会发现需要自动化才能实现规模化。隐私计划成功的一个关键因素是与其他组织团队的合作伙伴关系。与首席数据官(CDO)联系,了解正在使用的数据以及如何使用隐私保护替代方案来支持它们。隐私是个人的。在控制正在处理的数据并将其交还给消费者时,合规性不再只是目标。它成为商业道德框架的一部分。大流行期间变革的压力有所增加,而变革的关键是信任:到2023年,能够灌输数字信任的组织将能够参与50%以上的生态系统,以扩大创收机会。相关链接:https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-identifies-top-security-and-risk-management-thttps://www.gartner。com/en/newsroom/press-releases/2021-03-23-gartner-security-risk-management-summit-apac-day-1-highlightshttps://www.gartner.com/en/newsroom/press-releases/2021-03-24-gartner-security-risk-management-summit-apac-day-2-highlights
