近日，Gartner亞太區(qū)安全與風(fēng)險管理峰會在線上召開，會上發(fā)布了2021年安全與風(fēng)險管理八大趨勢。這八大趨勢集合了商業(yè)、市場以及技術(shù)等不同領(lǐng)域的動態(tài)，預(yù)計會對整個行業(yè)產(chǎn)生深遠影響，顛覆現(xiàn)狀。其中，身份安全、遠程訪問安全位列頭部趨勢。

Gartner宣稱，隨著新冠疫情加速數(shù)字化業(yè)務(wù)轉(zhuǎn)型，同時傳統(tǒng)網(wǎng)絡(luò)安全實踐也備受挑戰(zhàn)，安全與風(fēng)險管理領(lǐng)導(dǎo)者必須積極應(yīng)對這八大趨勢，幫助企業(yè)迅速實現(xiàn)重塑。

開幕主題演講：安全與風(fēng)險管理的最新趨勢

Gartner副總裁Peter Firstbrook

在Gartner的主題演講中，Gartner副總裁Peter Firstbrook討論了2021年安全和風(fēng)險管理的主要趨勢，強調(diào)了安全生態(tài)系統(tǒng)中正在進行的戰(zhàn)略轉(zhuǎn)變，這些轉(zhuǎn)變尚未得到普遍認可，但有望對整個行業(yè)產(chǎn)生廣泛的影響并具有很大的顛覆潛力。

Peter Firstbrook表示，這些趨勢反映了所有企業(yè)組織面臨的持續(xù)不斷的全球挑戰(zhàn)。他提到：“我們面臨的第一項挑戰(zhàn)就是技能缺口，很多企業(yè)很難找到和聘用安全專業(yè)人員。”與此同時，2021年安全與風(fēng)險管理領(lǐng)導(dǎo)者還面臨更多其他挑戰(zhàn)，比如說復(fù)雜的地緣政治形勢、越來越多的全球法規(guī)、遷移出傳統(tǒng)網(wǎng)絡(luò)的工作場所和工作負載、終端和位置的激增、攻擊環(huán)境多變等。尤其是，勒索軟件和商業(yè)郵件的入侵也復(fù)雜化了挑戰(zhàn)。

這里吐槽一下Garnter的這張圖，和以往風(fēng)格完全不一樣，第一眼一種詭異的氣息迎面而來。不知道這是不是也是本次疫情推動下Gartner的“新常態(tài)”。

趨勢一：網(wǎng)絡(luò)安全網(wǎng)格

網(wǎng)絡(luò)安全網(wǎng)格是一種現(xiàn)代安全方法，包括在最需要的地方部署控制措施。網(wǎng)絡(luò)安全網(wǎng)格通過提供基礎(chǔ)安全服務(wù)以及集中式策略管理和編排功能，使諸多工具能夠協(xié)同操作，而不是在孤島模式下使用安全服務(wù)或工具?，F(xiàn)在大多數(shù)IT資產(chǎn)在企業(yè)傳統(tǒng)邊界以外，網(wǎng)絡(luò)安全網(wǎng)格這種架構(gòu)可以讓組織將安全控制措施的覆蓋范圍擴大到零散的資產(chǎn)。

趨勢二：身份優(yōu)先安全

這是多年來的理想愿景：所有用戶可以隨時隨地訪問(通常叫做“身份即新安全邊界”)。由于技術(shù)和文化轉(zhuǎn)變，加之當(dāng)前新冠疫情時期遠程辦公的普遍性，該愿景已成為現(xiàn)實。身份優(yōu)先安全將身份置于安全設(shè)計的核心，與傳統(tǒng)的局域網(wǎng)邊緣設(shè)計思想大不相同。

Firstbrook表示：“SolarWinds攻擊表明了我們在管理和監(jiān)控身份方面做得不夠好。雖然企業(yè)組織在多因素身份驗證、單點登錄和生物特征身份驗證上花費了大量金錢和時間，但在有效監(jiān)控身份驗證以發(fā)現(xiàn)針對該基礎(chǔ)架構(gòu)的攻擊上所花的資金和時間卻少之又少。”

這句話算是總結(jié)到位了，企業(yè)花大把的金錢和精力放在采購和方案設(shè)計上，而對于落地性和效果卻很少關(guān)注，虎頭蛇尾的項目從未減少。我們只關(guān)注高大上的方案，新潮的技術(shù)，至于落地和效果，那是以后的事。

趨勢三：遠程工作得到安全支持

據(jù)Gartner《2021 Gartner CIO Agenda Survey》顯示，現(xiàn)在64%的員工能夠在家辦公。Gartner的調(diào)查顯示，至少30%至40%的人疫情后會繼續(xù)遠程辦公。對于許多組織而言，這種轉(zhuǎn)變需要重新考慮適合現(xiàn)代遠程辦公場所的策略和安全工具。比如，端點保護服務(wù)將需要成為一種云交付的服務(wù)。安全主管還需要重新考慮用于數(shù)據(jù)保護、災(zāi)難恢復(fù)和備份的策略，以確保它們?nèi)赃m用于新的遠程環(huán)境。

趨勢四：精通網(wǎng)絡(luò)(知識)的董事會

在Gartner的《Gartner 2021 Board of Directors Survey》中，許多董事將網(wǎng)絡(luò)安全評為企業(yè)面臨的第二大風(fēng)險源，僅次于合規(guī)。大企業(yè)正開始在董事會層面設(shè)立專門的網(wǎng)絡(luò)安全委員會，由具有安全專長的董事會成員或第三方顧問擔(dān)任負責(zé)人。

Gartner預(yù)測，到2025年，40%的董事會將設(shè)有專門的網(wǎng)絡(luò)安全委員會，由稱職的董事會成員監(jiān)督，而今天這個比例不足10%。

可以看出安全真的是未來無論是基礎(chǔ)設(shè)施、企業(yè)還是政府部門等等的基礎(chǔ)標(biāo)配，預(yù)計未來網(wǎng)絡(luò)安全會成為一個獨立分支，不再依附于IT之下，因為其重要性日漸提升，CISO可能將直接向CEO進行匯報。那種在運維手下做安全的日子可能要一去不復(fù)返了。

趨勢五：安全供應(yīng)商整合

Gartner的《2020 CISO Effectiveness Survey》發(fā)現(xiàn)，78%的CISO在其網(wǎng)絡(luò)安全供應(yīng)商產(chǎn)品組合中至少有16種工具，12%的CISO至少有46種工具。組織中大量安全產(chǎn)品增加了復(fù)雜性、集成成本和人員配備要求。在Gartner最近的一項調(diào)查中，80%的IT組織表示它們計劃在今后三年內(nèi)整合供應(yīng)商。

Firstbrook先生認為：“CISO渴望整合他們要處理的眾多安全產(chǎn)品和供應(yīng)商。如果擁有較少的安全解決方案，就能輕松正確地配置、響應(yīng)報警，從而改善安全風(fēng)險狀況。但是，購買一種更廣泛的平臺從實施所需的成本和時間來看可能存在不足。我們建議關(guān)注長期的總體擁有成本(TCO)，作為衡量成功的標(biāo)準(zhǔn)。”

這個問題應(yīng)該是老生常談了，尤其在傳統(tǒng)企業(yè)中更是十分突出，以至于形成一種混合IT的場景，運維非常復(fù)雜，成本也很高。感覺這里Gartner是在預(yù)示SASE這種平臺服務(wù)(當(dāng)然也可以私有化部署)，或者是目前各家大廠主推的零信任框架解決方案，可以明顯減少復(fù)雜供應(yīng)鏈和產(chǎn)品類別的問題。這方面AWS、Zscaler都是比較好的例子。

趨勢六：增強隱私計算

增強隱私計算技術(shù)正在興起，該技術(shù)可以在數(shù)據(jù)使用時保護數(shù)據(jù)，而不是在數(shù)據(jù)靜止或移動時保護，以確保安全的數(shù)據(jù)處理、共享、跨境傳輸和分析，即使在不受信任的環(huán)境下也可滿足需求。這項技術(shù)越來越多地實施在欺詐分析、情報、數(shù)據(jù)共享、金融服務(wù)(如反洗錢)、制藥和醫(yī)療保健等領(lǐng)域。

Gartner預(yù)測，到2025年，50%的大型組織將采用增強隱私計算，用于在不受信任的環(huán)境或多方數(shù)據(jù)分析使用場景中處理數(shù)據(jù)。

這里應(yīng)該是指多方計算、聯(lián)邦學(xué)習(xí)、差分隱私、同態(tài)加密等技術(shù)的應(yīng)用，因為這些技術(shù)目前的應(yīng)用情況也比較初級，那么這里的增強隱私計算具體是指加強這些技術(shù)的應(yīng)用還是增強技術(shù)本身的能力，可能要等官方后續(xù)的說明了。

趨勢七：泄露和攻擊模擬

如今出現(xiàn)了泄露和攻擊模擬(Breach and attack simulation,BAS)工具，可提供連續(xù)的防御態(tài)勢評估;相比之下，滲透測試所提供的的年度積分評估可見性就比較有限。當(dāng)CISO將BAS納為其常規(guī)安全評估的一部分時，可以幫助團隊更有效地發(fā)現(xiàn)環(huán)境中的安全缺口，并能更高效地確定安全計劃的優(yōu)先級。

趨勢八：管理機器身份

機器身份管理旨在建立和管理與其他實體(比如設(shè)備、應(yīng)用程序、云服務(wù)或網(wǎng)關(guān))交互的機器的身份可信?，F(xiàn)在組織中的非人類實體越來越多，這意味著管理機器身份已成為安全策略的一個重要組成部分。

三種方法獲得對安全意識計劃的支持

Gartner資深分析師Richard Addiscott

從高管獲取安全意識計劃的投資取決于有說服力的理由和強大的談判技巧。支持可能會因為更大的項目爭奪關(guān)注而被忽略或優(yōu)先考慮。在本次會議中，Gartner的高級分析師Richard Addiscott討論了三種可以幫助相關(guān)人員為計劃獲得組織支持的方法。

要點：

• 缺乏針對安全意識計劃的管理支持，會對安全團隊在整個組織中滲透其關(guān)鍵信息的能力產(chǎn)生重大影響。
• 需要在要實現(xiàn)的目標(biāo)與業(yè)務(wù)受眾和組織目標(biāo)之間建立明確聯(lián)系。
• 提供近期事件的具體案例，以幫助構(gòu)建故事中的信息;無論是關(guān)于公司，競爭對手，還是時事或其他行業(yè)報告。
• 使用可衡量的數(shù)據(jù)來傳達信息。擁有可量化的數(shù)據(jù)點對于闡明程序的有效性并以聽眾可以理解的描述來說明至關(guān)重要。
• 知道如何很好地講故事可能是決定安全意識信息是否被接收，理解和認可的關(guān)鍵因素。

建立信息安全工作戰(zhàn)略

Gartner顧問高級總監(jiān)Beth Schumaecker

在數(shù)字時代支持業(yè)務(wù)需要信息安全人員擁有比過去更加多樣化的技能。在本次會議中，Gartner咨詢部門高級主管Beth Schumaecker概述了成功所需的技能和能力。

要點：

• 關(guān)鍵是要根據(jù)方向以及未來的人才需求如何支持業(yè)務(wù)戰(zhàn)略，而不是短期的人才預(yù)測，來制定安全工作戰(zhàn)略。
• 定期與業(yè)務(wù)合作伙伴進行討論，討論他們的業(yè)務(wù)重點和目標(biāo)，而不是安全的重點。以安全為中心的對話可能會錯過更大的目標(biāo)，并限制當(dāng)前和未來人才需求的視野。
• 通過分析業(yè)務(wù)戰(zhàn)略并全面了解安全技能組合，確認安全人才缺口。
• 解決人才風(fēng)險的策略很多，包括技能提升，技能培訓(xùn)，工作輪換，外包和重新設(shè)計工作。良好的工作計劃意味著要搞清楚自己需要采用哪些策略。

Gartner的漏洞管理戰(zhàn)略構(gòu)想

Gartner副總裁Craig Lawson

漏洞管理是關(guān)鍵安全過程。但是，許多組織在優(yōu)化程序以實現(xiàn)預(yù)期結(jié)果方面都存在問題。本次會議中，Gartner副總裁Craig Lawson討論了Gartner關(guān)于漏洞管理的戰(zhàn)略構(gòu)想，并提供了有關(guān)安全主管如何在組織中實現(xiàn)這一點的實用性指導(dǎo)。

要點：

• 毫無疑問，漏洞管理可能是安全運營中要做的最好的主動防護措施。
• 可以對漏洞程序進行的重大變更之一就是將重點放在暴露在外可被利用的漏洞上。那應(yīng)該是第一目標(biāo)，它將最大化，最快速地降低風(fēng)險。
• 不要考慮漏洞是否可以通過網(wǎng)絡(luò)利用或訪問，還是中等風(fēng)險或高級別。您想知道的是攻擊者是否正在利用它們。
• 查看現(xiàn)有的漏洞評估解決方案，并尋求更合適的優(yōu)先級。確保它們在環(huán)境中支持新資產(chǎn)，例如云，容器和物聯(lián)網(wǎng)。如果沒有，那就改進或更換解決方案。
• 補丁不是全部。它很難，也會破系統(tǒng)且花費大量時間。制定計劃B——你的手里擁有的應(yīng)該是更多的武器而不是補丁。
• 如果在漏洞程序方面做得很好，則可以大大減少攻擊面。對于攻擊者而言，操作就會更加困難，因為他要試圖讓攻擊發(fā)揮作用。這是一件大事。

解決新冠病毒后世界中的遠程訪問挑戰(zhàn)

Gartner分析師高級總監(jiān)Rob Smith

沒有人已對新冠病毒所帶來的遠程辦公環(huán)境中的攻擊做好準(zhǔn)備。Gartner分析師高級總監(jiān)Rob Smith討論了遠程訪問虛擬專用網(wǎng)如何在一夜之間成為最重要的技術(shù)之一，以及組織如何為用戶和運營實施正確的遠程訪問解決方案。

要點：

遠程訪問虛擬專用網(wǎng)可以說是當(dāng)今安全，基礎(chǔ)架構(gòu)和運營中最重要的技術(shù)。

隨著疫情的出現(xiàn)，員工現(xiàn)在需要虛擬專用網(wǎng)才能“進入辦公室”。

為組織集思廣益的最佳虛擬專用網(wǎng)技術(shù)的第一步是根據(jù)四個關(guān)鍵變量定義用例：

• 用戶
• 設(shè)備
• 數(shù)據(jù)
• 位置

沒有所謂正確的遠程訪問方法——企業(yè)必須了解各種解決方案的優(yōu)勢和局限性。

除非絕對必要，否則請不要使用永遠在線的虛擬專用網(wǎng)。

對于偏執(zhí)的安全人員來說，虛擬桌面基礎(chǔ)架構(gòu)(VDI)解決方案是最好的。它阻止了企業(yè)數(shù)據(jù)將其發(fā)送到設(shè)備，但是，最終用戶帶寬水平對于不同位置的工作人員來說是一個潛在的告警。

對組織重要的數(shù)據(jù)進行分類，而非試圖保護所有數(shù)據(jù)，然后根據(jù)該分類選擇適當(dāng)?shù)目丶?/p>

隱私展望2021

Gartner副總裁Nader Henein

每月都有提議，通過或推翻新的隱私法案?？蛻粜湃稳Q于組織如何處理數(shù)據(jù)，因為如果消費者不滿意，他們很可能會考慮別家的同類服務(wù)。在這次會議上，Gartner研究副總裁Nader Henein表示，隱私不是一個一次性的項目，而是一個剛剛開始的正在進行的程序。

要點：

創(chuàng)建一個強大的隱私程序意味著要了解三件事：

• 當(dāng)前的法規(guī)環(huán)境
• 支持該程序的技術(shù)能力
• 可以將控制權(quán)交還給客戶的最佳實踐

新冠病毒突顯了《通用數(shù)據(jù)保護條例》(GDPR)建立的框架的成熟度。這對全球隱私產(chǎn)生了顯著影響。

盡管對于組織來說，手動啟動隱私發(fā)現(xiàn)流程以了解其數(shù)據(jù)的復(fù)雜性很重要，但很快就會發(fā)現(xiàn)，需要自動化來實現(xiàn)規(guī)模擴展。

隱私程序成功的一個關(guān)鍵因素是與其他組織團隊建立伙伴關(guān)系。與首席數(shù)據(jù)官(CDO)聯(lián)系，了解正在使用的數(shù)據(jù)以及如何使用保護隱私的替代方法來支持它們。

隱私屬于個人。

當(dāng)控制要處理的數(shù)據(jù)并將其交還給消費者時，合規(guī)性不再僅僅是目標(biāo)。它成為業(yè)務(wù)道德架構(gòu)的一部分。

在疫情期間，變革的壓力已經(jīng)增加，而這樣做的關(guān)鍵在于信任：到2023年，可以灌輸數(shù)字信任的組織將能夠參與50%以上的生態(tài)系統(tǒng)，以擴大創(chuàng)收機會。

相關(guān)鏈接：

• https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-identifies-top-security-and-risk-management-t
• https://www.gartner.com/en/newsroom/press-releases/2021-03-23-gartner-security-risk-management-summit-apac-day-1-highlights
• https://www.gartner.com/en/newsroom/press-releases/2021-03-24-gartner-security-risk-management-summit-apac-day-2-highlights