CISO一直在努力阐明基于风险的决策制定的重要性,并发现为其组织创建风险偏好声明是使IT风险管理与业务目标。创建简单实用的风险偏好声明使CISO能够打破安全团队与不同业务部门之间存在的脱节。这是Gartner预测2019年将影响CISO的七大安全和风险管理趋势之一。1.SRM管理人员继续发布以业务结果为导向的实用风险偏好声明,这有效地提高了利益相关者的参与度。针对当前的安全形势,风险管理逐渐提上日程,而不仅仅是管理漏洞。就这么简单,还包括战略、市场、供应商、内控、财务、资源优化等方面的风险(作为一个合规的CIO,你应该对这些有一定的了解。我记得Gartner的一篇文章提到CIOYoushould尽可能多地参加CEO和董事会的会议,能够向CEO和高层提出一些有价值的、有创意的IT建议,而不是等着上级分配工作,就去搞每天都在IT和安全。)一些大型甲方已经开始建立自己的风控体系,尤其是电商企业。目前,他们面临的头痛比DDoS攻击、APT、0day、欺凌、社工等还要多。如何应对这些风险将成为未来几年企业安全的重中之重,而《网络安全漏洞管理规定(征求意见稿)》日前也提到要做好风险管理。这里所说的风险偏好类似于金融业投资者的投资偏好。主要反映一个企业对安全的定位和重要方针,如何对待安全,预算是否充足,是否愿意在安全上投入,能够或愿意接受的风险程度如何?首先做好基础工作,然后继续部署、规划、实施和监控改进。最后,也是最关键的一点,不管你有多么先进的技术,多么高端的人才,多么强大的合作伙伴,如果利益相关者不关心安全,那你就不要太在意安全,这本身就是一个自上而下的治理方法,在这种方法中,如果没有来自上层的支持和推动,安全工作就不会创造价值。2.对威胁检测和响应功能的关注让SOC部署和优化更受欢迎。SOC吹了很多年,但是真正可以作为最佳实践的案例并不多。由于目前的攻防回合制游戏,预计这种僵局可能会持续很长时间,而当僵局能够被打破时,新的安全保护方式的出现是关键。既然我们还处在这样的环境中,就必须从事实出发,做好当前的安全保障工作。从市场预测来看,SOC并不新鲜。市场真正关注的是威胁检测和响应,以及非传统的态势感知,这些都是吹出来的。目前还没有真正可以称为态势感知的系统。结合当今0-day黑产在地下跑来跑去、APT和长线钓鱼的时代,社工和羊毛党随处可见,检测和响应的及时性和准确性是关键,能够防患于未然首先是企业最关心的事情。3、龙头企业利用数据安全治理框架确定数据安全投资的优先级。随着《GDPR》的推出,一年来效果显着,确实起到了一定的约束作用。但是对于企业来说,很少有企业能够做好数据安全。目前,DLP除了加密之外,都是被动手段,距离真正的数据治理还有很大差距。几年前提出的数据生命周期是一个比较好的概念和理论框架。虽然费时费力,但从长远来看,企业越大,数据治理的必要性就越强,不做是不可能的。所以既然要做早晚的事情,还是早点开始为好,以免积累海量数据,真的很难下手。仅仅一个数据分类分级就需要大量的人力。4.在需求和生物识别技术以及基于硬件的强认证方法的可用性的推动下,无密码认证开始引领市场为什么无密码认证会引领市场?其实想想也是一种趋势,就像云一样。例如,一个人会在多个平台上拥有多个帐户。目前不可能做到一账通,未来10年也未必可能。然后每个平台对应的账号都有密码要求,有的还可以,可能6个字符就够了,不限制复杂度,而有的平台安全策略比较高,要求至少8个字符,而且必须包含某些复杂的字符,接下来就是下一个问题。一个人有10个账号,如果所有账号都使用一个密码,肯定不安全;如果大部分账号密码不一样,一般人很难记住这些密码,很多人会记在笔记本上或者文字里,如果存在,那就存在安全隐患,这只是个问题泄漏之前的时间。因此,无密码登录一定是未来的趋势。通过生物特征识别和随机机制进行认证(类似于手机扫码登录,但比这稍微复杂一点),相对安全,也是用户想要的。无密码身份验证服务很可能在未来几年拥有非常广阔的市场份额。5、安全厂商持续提供增值服务,帮助客户获得更多的短期价值,提供技能培训。Gartner最近一直在强调客户体验。如何做好客户服务表明未来市场信息服务会越来越多。那么在哪里?做工精良的公司和在用户中的良好口碑是核心竞争优势。在传统业务之外,安全厂商开始不断开发增值业务。我之前看到的XaaS就是其中一个例子。不仅仅是IaaS、PaaS、SaaS,而是云上的整体解决方案。说白了,你只要说我的系统会上云就行了,好吧,剩下的你不用管,厂商给你搞定,从最初的需求,解决方案,迁移,部署,上线,测试,安全,运维,你只需要付费告诉我你的需要。这是今年3月Gartner提出的一种新的云服务方式。6、云计算成为主流平台。龙头企业持续投资和提升云安全能力是必然的。云平台被称为趋势。由于信息系统庞大,需要逐步迁移。在服务水平上,可能暂时难以提供全方位的支持。阿里云去年遭遇多次故障,严重影响客户;腾讯云,一刀切的技术问题,降低了客户满意度;亚马逊云,数据泄露,再加上几年光缆被挖,部分地区服务中断;以上只是运维问题,在安全方面,各个公司还是采用堆叠式被动防御,提供一堆安全产品,客户自己选择购买。虽然是云平台、高端大气、未来趋势,但还是没有什么创新,和传统的网络安全没有太大区别。大的本质区别。什么时候才能从被动转为真正的主动防御,真正为客户着想,安心做好安全工作,才能成为一个成熟的云计算平台。7、传统安全市场出现了CARTA安全策略。近两年,自从Gartner提出CARTA这个词后,就一直在推广。什么是CARTA,这里简单介绍一下。CARTA:持续自适应风险和信任评估,持续自适应风险和信任评估。Gartner引入了一种名为CARTA的战略方法,强调对风险和信任这两个要素进行持续和适应性评估。风险是指对网络中安全风险的判定,包括判定攻击、漏洞、违规、异常等。持续自适应风险评估从防御的角度看待事物,试图识别坏人(攻击、漏洞、威胁等)。说到风险,我觉得是信息安全里面非常关键的一个词。现在我们听到更多关于威胁和数据的说法,比如以威胁为中心、数据驱动等。关注风险感觉已经过时了。事实上,安全应该始终关注风险!数据、威胁、攻击、漏洞、资产都是风险的要素和支撑。我们检测攻击,包括高级攻击,并最终评估风险。信任是指确定身份和执行访问控制。持续自适应信任评估从访问控制的角度看待问题,试图识别好人(授权、身份验证、访问)。自适应是指我们在判断风险(包括攻击)时,不仅要依靠阻断措施,还要对网络进行细致的监控和响应。这实际上是ASA自适应安全架构的范围。另一方面,我们在进行身份和访问控制时,不能仅仅依靠简单的凭据,还需要根据访问上下文和访问行为进行综合研判,动态授权和动态更改权限。连续性是指风险和信任研判的过程是连续的,重复多次。CARTA强调对风险和信任的评估和分析,而这个分析的过程就是一个权衡的过程。天平非常形象地说明了“平衡”(Balance)这个词。取舍的时候,要避免完美,不能要求零风险,不能追求100%的信任,否则生意就没法发展。好的做法是在0和1之间不断调整。CARTA可以从运营、建设、规划(逆向)三个维度分析客户的业务系统如何使用CARTA战略方法。这里最厉害的是,Gartner几乎囊括了他们过去定义的所有技术细分领域,而且非常自洽。操作、自适应访问和自适应保护访问是信任角度的访问控制;保护就是从风险的角度来防御。自适应保护其实对应的是Gartner的自适应安全架构。谈到保护,Gartner提到了一个响亮的点:使用深度分析(Analyticsindepth)和自动化进行保护。深度分析:这是一个由纵深防御演变而来的术语,强调随着安全问题变成大数据问题,大数据问题变成大分析问题,纵深防御逐渐变成纵深分析。深度分析是对每个深度产生的大量数据进行分析判断,动态评估风险和信任,同时对不同深度的数据进行整合分析。而所有这些分析都是为了更好的检测,检测是保护的一部分(连同阻断和响应)。自动化:在安全防护中,自动化的本质是快速响应。综上所述,归根结底,我们将以基本的安全工作结束。Gartner2018年十大安全项目提出,企业想要从事这些相对较新的项目之前,首先要检查自己的基础安全做得如何,包括:无文件恶意代码检测、内存注入防护、机器学习等功能;基本的Windows帐户管理已经完成;IAM(IdentityandAccessManagement的缩写),即“身份识别和访问管理”,具有单点登录、强大的认证管理、基于策略的集中授权和审计、动态授权、企业可管理性等功能。有常规的补丁管理;已有标准化的服务器/云工作负载保护平台代理;具有相对强大的反垃圾邮件能力;已部署具有基本检测/响应能力的某种形式的SIEM或日志管理解决方案;建立备份/恢复机制;基本安全意识培训;基本的互联网出口边界安全防护能力,包括URL过滤能力;各位,这些任务做好了吗?参考资料:《Gartner Top 7 Security and Risk Trends for 2019》原文:https://www.gartner.com/smarterwithgartner/gartner-top-7-security-and-risk-trends-for-2019/《Gartner 2019 十大安全项目》原文:https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projectsfor-2019/【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信公众号id:gooann-sectv)】点此查看作者的更多好文章
