在2018 Gartner 安全與風險管理峰會上，Gartner研究副總裁兼杰出分析師Neil MacDonald 談道：“企業(yè)須致力于那些能夠大幅度降低風險并能夠?qū)I(yè)務產(chǎn)生很大影響的項目上”。為了幫助cso官們著手實施，MacDonald 先生分享了2018年Gartner為安全團隊建議的十大新項目。MacDonald 還解釋道：“這些都是獨立的項目，而非項目集。它們各自都有真正的基礎技術(shù)”。他還談道，對于大多數(shù)CSO來說，這些項目都是新鮮事物，企業(yè)采用率還不到50%。

同樣地，安全這個話題在2019年依然繼續(xù)。近期，Gartner在一篇客座文章中，汲取了分析人士的見解，指出了2019年CIO們應該關(guān)注的十大安全項目。

Gartner表示，安全與風險管理(SRMs)的企業(yè)管理者經(jīng)常在平衡和優(yōu)先考慮跨技術(shù)、人員和流程的投資方面遇到困難。安全團隊錯誤地假設他們可以成功地實現(xiàn)新項目，而不需要首先正確地驗證他們是否具備基本的安全功能和風險評估。

以下是2019年十大安全項目，其中圖表第二行中的五項是在去年的基礎上進行過修改過或者全新的項目：

項目1：特權(quán)訪問管理(PAM)

PAM項目應該幫助組織發(fā)現(xiàn)并對特權(quán)帳戶應用適當?shù)目刂?，這樣黑客就很難訪問它們。

PAM項目必須支持本地、混合和云環(huán)境，并且至少為所有管理員和第三方使用多因素身份驗證(MFA)。SRM管理者可以通過基于風險的方法(高價值、高風險)優(yōu)先考慮特權(quán)訪問帳戶。

項目2：持續(xù)性適應風險與風險信任評估支持(CARTA)的漏洞管理

基于持續(xù)自適應風險和信任評估(CARTA)方法，SRM管理者需要采用一種策略方法，其中安全性是自適應的。

顯然，安全團隊不能修補出現(xiàn)的每個漏洞，但是可以通過正確地優(yōu)先考慮IT的業(yè)務價值和相關(guān)風險之間的交叉，而不是只考慮漏洞，來顯著降低風險。查看當前的威脅和漏洞管理產(chǎn)品和流程來實現(xiàn)這一點。

項目3：檢測和響應

從來沒有“完美的保護”這回事，但是考慮數(shù)據(jù)管理和妥協(xié)指標(IOCs)的檢測和響應項目肯定會朝這個方向發(fā)展。

向端點保護平臺(EPP)供應商提供端點檢測和響應(EDR)功能，然后確定哪些功能最適合與安全程序的其余部分集成。

項目4：云安全態(tài)勢管理(CSPM)

對云服務的絕大多數(shù)成功威脅都是客戶配置錯誤、管理不善和錯誤的結(jié)果。SRM管理者應該對CPSM過程和工具進行投資，以主動和反應性地識別和糾正這些風險。

項目5：云訪問安全代理商(CASBs)

已經(jīng)采用多個軟件即服務(SaaS)應用程序的組織可以使用CASBs來增強跨多個基于云的服務的可見性和控制。

項目6：飯商業(yè)電子郵件失陷(BEC)

這是2019年新一波安全項目浪潮中的第一個。在網(wǎng)絡釣魚和定義不清的業(yè)務流程方面有問題的SRM管理者可以從BEC項目中受益。

BEC項目應該同時關(guān)注電子郵件技術(shù)控制和對特定于組織的流程分解的更好理解，比如財務交易的電子郵件審批或數(shù)據(jù)披露。

項目7：暗數(shù)據(jù)挖掘

對于SRM管理者來說，擁有未知數(shù)量的暗數(shù)據(jù)是很自然的——這些數(shù)據(jù)提供的價值很少，而且風險無法測量——但是他們?nèi)匀豢梢耘p少數(shù)據(jù)占用，并尋找支持數(shù)據(jù)整合和存儲的供應商。

暗數(shù)據(jù)挖掘的一個強大驅(qū)動力是獲得降低組織風險暴露于一般數(shù)據(jù)保護法規(guī)(GDPR)和其他隱私法規(guī)的能力。

項目8：安全應急響應

由于安全事件是當今數(shù)字業(yè)務的自然副產(chǎn)品，2019年的安全項目應該包括更新安全事件響應策略和流程，或者根據(jù)各種不斷變化的因素完全重新編寫這些響應。

所以說，對組織當前的事件準備水平進行持續(xù)的評估從來不是浪費時間。

項目9：容器安全

為了確保在將所有容器發(fā)布到生產(chǎn)環(huán)境之前自動掃描以發(fā)現(xiàn)漏洞和配置問題，負責保護容器的安全團隊必須加強持續(xù)集成/持續(xù)交付(CI/CD)管道。

查看可以保護多個容器部署的容器安全性，特別是作為服務提供的新興容器。

項目10：安全評級服務

隨著數(shù)字化轉(zhuǎn)型的成熟，與復雜生態(tài)系統(tǒng)相關(guān)的風險成為業(yè)務的一個組成部分。它不再僅僅關(guān)乎一個組織的內(nèi)部安全和風險狀況，而是關(guān)乎供應商、監(jiān)管機構(gòu)、客戶、業(yè)務合作伙伴和平臺的狀況。

因此，SRM管理者應該利用安全評級服務作為額外的數(shù)據(jù)點，為其整體數(shù)字生態(tài)系統(tǒng)(面向公眾的資產(chǎn)等)提供連續(xù)的、獨立的評分。