全球領(lǐng)先的信息技術(shù)研究和顧問(wèn)公司Gartner近日發(fā)布了將在更長(zhǎng)時(shí)期內(nèi)影響安全、隱私與風(fēng)險(xiǎn)領(lǐng)導(dǎo)者的七個(gè)安全與風(fēng)險(xiǎn)管理新興趨勢(shì)。

Gartner將“大”趨勢(shì)定義為安全生態(tài)系統(tǒng)中尚未得到廣泛認(rèn)可、但有望產(chǎn)生廣泛的行業(yè)影響并有可能帶來(lái)重大顛覆的持續(xù)戰(zhàn)略性轉(zhuǎn)變。

Gartner研究副總裁Peter Firstbrook表示：“外部因素與安全領(lǐng)域特定威脅正在共同影響著整體安全與風(fēng)險(xiǎn)態(tài)勢(shì)，因此該領(lǐng)域的領(lǐng)導(dǎo)者必須做好提高彈性并支持業(yè)務(wù)目標(biāo)的充分準(zhǔn)備。”

2019年及之后的七大安全與風(fēng)險(xiǎn)管理趨勢(shì)是：

趨勢(shì)一：

風(fēng)險(xiǎn)偏好聲明（Risk Appetite Statements）正在與業(yè)務(wù)成果掛鉤

隨著IT戰(zhàn)略與業(yè)務(wù)目標(biāo)更加緊密地結(jié)合在一起，安全與風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者向主要業(yè)務(wù)決策者有效提出安全事務(wù)的能力變得愈發(fā)重要。Firstbrook先生表示：“為了避免只關(guān)注與IT決策相關(guān)的問(wèn)題，請(qǐng)創(chuàng)建可以與業(yè)務(wù)目標(biāo)以及董事會(huì)級(jí)別決策相關(guān)聯(lián)的簡(jiǎn)單、實(shí)際且實(shí)用的風(fēng)險(xiǎn)偏好聲明。業(yè)務(wù)領(lǐng)導(dǎo)者必須明白為何安全領(lǐng)導(dǎo)者要平等地參加戰(zhàn)略性會(huì)議。”

趨勢(shì)二：

正在重點(diǎn)圍繞威脅檢測(cè)與響應(yīng)而部署安全運(yùn)營(yíng)中心

隨著安全警報(bào)的復(fù)雜性與頻率不斷增加，安全投資在從威脅防御向威脅檢測(cè)的轉(zhuǎn)變過(guò)程中，需要對(duì)安全運(yùn)營(yíng)中心（SOC）進(jìn)行投資。根據(jù)Gartner提供的信息，到2022年，50%的安全運(yùn)營(yíng)中心將轉(zhuǎn)變?yōu)榫邆渚C合事件響應(yīng)、威脅情報(bào)和威脅搜索能力的現(xiàn)代化安全運(yùn)營(yíng)中心，而在2015年這一比例還不到10%。Firstbrook先生表示：“安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要建立或外包能夠集成威脅情報(bào)、整合安全警報(bào)并自動(dòng)響應(yīng)的安全運(yùn)營(yíng)中心，這一需求怎么強(qiáng)調(diào)都不過(guò)分。”

趨勢(shì)三：

數(shù)據(jù)安全治理框架應(yīng)該優(yōu)先考慮數(shù)據(jù)安全投資

數(shù)據(jù)安全是一個(gè)復(fù)雜的問(wèn)題，如果沒(méi)有對(duì)數(shù)據(jù)本身、數(shù)據(jù)的創(chuàng)建與使用環(huán)境及其受監(jiān)管程度的深入理解，就無(wú)法解決該問(wèn)題。一些領(lǐng)先的企業(yè)機(jī)構(gòu)正在開(kāi)始通過(guò)數(shù)據(jù)安全治理框架（DSGF）解決數(shù)據(jù)安全問(wèn)題，而非獲取數(shù)據(jù)保護(hù)產(chǎn)品并嘗試對(duì)其進(jìn)行修改以滿足業(yè)務(wù)需求。Firstbrook先生表示：“數(shù)據(jù)安全治理框架提供了一個(gè)以數(shù)據(jù)為中心的藍(lán)圖，用于識(shí)別與歸類數(shù)據(jù)資產(chǎn)并定義數(shù)據(jù)安全策略。隨后，這用于選擇相關(guān)技術(shù)，借以將風(fēng)險(xiǎn)降至最低限度。解決數(shù)據(jù)安全問(wèn)題的關(guān)鍵，在于從其所解決的業(yè)務(wù)風(fēng)險(xiǎn)入手，而不是像多數(shù)公司那樣首先考慮獲取技術(shù)。”

趨勢(shì)四：

無(wú)密碼認(rèn)證正在引領(lǐng)市場(chǎng)

無(wú)密碼身份驗(yàn)證（例如智能手機(jī)上的Touch ID）開(kāi)始真正引領(lǐng)市場(chǎng)。由于供需充足，該技術(shù)正在被越來(lái)越多地部署到針對(duì)消費(fèi)者與員工的企業(yè)應(yīng)用之中。Firstbrook先生表示：“為了打擊以密碼為目標(biāo)來(lái)訪問(wèn)云端應(yīng)用的黑客，將用戶與其設(shè)備關(guān)聯(lián)起來(lái)的無(wú)密碼方法提供了更高的安全性和可用性，這是一種難得的安全雙贏。”

趨勢(shì)五：

安全產(chǎn)品廠商正在逐漸提供高級(jí)技能與培訓(xùn)服務(wù)

Gartner的研究顯示，網(wǎng)絡(luò)安全崗位空缺將從2018年的100萬(wàn)增至2020年底的150萬(wàn)。雖然人工智能和自動(dòng)化的進(jìn)步確實(shí)減少了人類分析標(biāo)準(zhǔn)安全警報(bào)的需求，但敏感、復(fù)雜的警報(bào)仍然需要人的參與。Firstbrook先生表示：“我們開(kāi)始看到一些廠商在提供融合產(chǎn)品與運(yùn)維服務(wù)的解決方案以加速產(chǎn)品采用。從全面管理到部分支持等一系列服務(wù)均旨在提高管理員的技能水平，并減少日常工作量。”

趨勢(shì)六：

投資云安全能力并將其作為主流計(jì)算平臺(tái)

由于可能無(wú)法獲得人才且企業(yè)機(jī)構(gòu)完全未為此做好準(zhǔn)備，向云端遷移意味著安全團(tuán)隊(duì)的力量有所減弱。Gartner估計(jì)，到2023年，大部分云安全故障都將是由客戶的過(guò)錯(cuò)而引發(fā)的。Firstbrook先生表示：“對(duì)于許多企業(yè)機(jī)構(gòu)而言，公有云是一種安全可行的選擇，但保證安全性是雙方共同的責(zé)任。各企業(yè)機(jī)構(gòu)必須投資于用來(lái)構(gòu)建知識(shí)庫(kù)的安全技能與治理工具，以跟上云開(kāi)發(fā)與創(chuàng)新的快速步伐。”

趨勢(shì)七：

Gartner的持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估將更多地出現(xiàn)于傳統(tǒng)安全市場(chǎng)

Gartner的持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估（CARTA）是一種處理數(shù)字商業(yè)信任評(píng)估模糊性的策略。Firstbrook先生表示：“盡管是一個(gè)多年過(guò)程，但CARTA背后的構(gòu)思是一種應(yīng)對(duì)安全的戰(zhàn)略性方法，其平衡了安全摩擦與交易風(fēng)險(xiǎn)。持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估的一個(gè)關(guān)鍵組成部分，是即使在訪問(wèn)得到展期之后也要持續(xù)評(píng)估風(fēng)險(xiǎn)與信任。隨著解決方案日益關(guān)注檢測(cè)異常行為——即使用戶與設(shè)備通過(guò)了認(rèn)證，電子郵件與網(wǎng)絡(luò)安全成為邁向持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估方法的兩個(gè)安全領(lǐng)域示例。”

責(zé)任編輯：lq6