信息化觀察網(wǎng)

CISO 一直在努力闡明基于風險的決策的重要性，并發(fā)現(xiàn)為組織創(chuàng)建風險偏好聲明是使 IT 風險管理與業(yè)務目標保持一致的最有效工具。創(chuàng)建簡單、實用的風險偏好聲明，可以使 CISO 打破安全團隊和不同業(yè)務單元之間存在的脫節(jié)。這是 Gartner 預計將在 2019 年影響 CISOs 的七大安全和風險管理趨勢之一。

一、SRM管理者持續(xù)發(fā)布以業(yè)務成果為導向的實用的風險偏好聲明，有效提高了利益相關(guān)方的參與度

為應對當前的安全形勢，風險管理逐漸提上日程，現(xiàn)在已經(jīng)不僅僅是管理好漏洞那么簡單了，還包括戰(zhàn)略、市場、供應商、內(nèi)控、財務、資源優(yōu)化等多方面的風險（作為一個合規(guī)的 CIO，這些應該都有一定的了解。記得 Gartner 的一篇文章提到過 CIO 應該盡可能的參與到 CEO 和董事會的會議中去，能夠向 CEO 和高層建議 IT 方面的一些有價值和創(chuàng)造性的建議，而不是等著上邊來分派工作，每天只是搞搞 IT 和安全。）一些大型甲方已經(jīng)開始建立自己的風控體系，尤其是電商公司，目前面對比較頭疼的就是 DDoS 攻擊、APT、0day、薅羊毛以及社工。如何應對這些風險將成為未來幾年企業(yè)安全的重中之重，而且前幾天的《網(wǎng)絡安全漏洞管理規(guī)定（征求意見稿）》也提到了要做好風險管理。

這里所提到的風險偏好，類似金融行業(yè)投資者的投資偏好，主要反映企業(yè)對于安全的一個導向和重要指導方針，如何應對安全、預算是否充足、是否愿意向安全投資、能夠或愿意接受的風險水平是怎樣的？首先做好這些基礎工作，才能開展后續(xù)各項部署、計劃以及實施和監(jiān)督改進。最后，也是最為關(guān)鍵的一點，不管你擁有多么先進的技術(shù)、多么高端的人才或是多么強大的合作伙伴，如果利益相關(guān)方不關(guān)心安全，那么其實各位也不要太費心去做安全，其本身就是一種自上而下的治理方法，沒有上層支持和推動，安全工作不會創(chuàng)造任何價值。

二、對威脅檢測與響應功能的關(guān)注使得SOC部署和優(yōu)化的熱度再次上升

SOC 吹了有好多年，目前真正可以拿來作為最佳實踐的案例卻不多，介于目前攻防回合制過家家的打法（你黑我一下，我防你一手，我再找洞，你再修補），預計這種僵持的局面可能會持續(xù)很久，何時能夠打破僵局，出現(xiàn)一種新的安全防護手段將是關(guān)鍵。

既然還身處這樣的環(huán)境，那么就事論事，必須做好當前的安全工作。從市場預測來看，SOC 已經(jīng)不算新鮮，市場真正關(guān)注的是威脅檢測與響應，非傳統(tǒng)的態(tài)勢感知，哪些都是吹出來的，目前還沒有真正可稱為態(tài)勢感知的系統(tǒng)。結(jié)合如今 0day 黑產(chǎn)地下亂竄，APT 和釣魚放長線，社工和羊毛黨隨處可見的時代，檢測和響應的及時性和準確性是關(guān)鍵，能夠第一時間組織損失，這是企業(yè)最為關(guān)心的事。

三、領(lǐng)軍企業(yè)利用數(shù)據(jù)安全治理框架來確定數(shù)據(jù)安全投資的優(yōu)先級

隨著《GDPR》出臺，一年來效果顯著，確實起到了一定的約束效力。但對于企業(yè)來說，并沒有幾家公司能做好數(shù)據(jù)安全，目前除了加密就是 DLP，全是被動手段，距離真正的數(shù)據(jù)治理還有很大差距。前些年提出的數(shù)據(jù)生命周期，是一個比較好的概念和理論框架，雖然費時費力，但從長遠來看，企業(yè)越大，數(shù)據(jù)治理的必要性就越強，不做是不可能的。那么既然早晚都要做，不如早些起步，以免海量數(shù)據(jù)堆積起來再想開始就真的難了，只是一個數(shù)據(jù)分類分級就需要大量人力投入。

四、受需求和生物識別技術(shù)可用性以及基于硬件的強認證方式驅(qū)動，無密碼認證開始引領(lǐng)市場

為何無密碼認證會引領(lǐng)市場，其實想想也是一種趨勢，就好比云一樣。舉個例子，一個人在多個平臺會擁有多個賬號，目前不可能做到一賬通，未來 10 年怕也是不可能。那么，每個平臺對應的賬號都有密碼要求，有些還好，可能 6 位就可以，也不限制復雜度，而有些平臺安全策略較高，要求至少 8 位，且必須包含某些復雜字符，那么接下來問題來了。一個人加入擁有 10 個賬號，如果所有賬號都用一個密碼，肯定不安全；如果大多數(shù)賬戶密碼不同，那么要記住這些密碼對于一般人來說有些困難，不少人會記在本上或是存在一個文本里，那么這又存在安全隱患，被泄露只是時間問題。所以，無密碼登錄必然是未來的趨勢，通過生物識別配合隨機機制認證（類似手機掃碼登錄，不過比這要復雜一點），這是相對安全而且也是用戶希望的。

未來幾年，無密碼認證服務可能會擁有非常廣泛的市場份額。

五、安全廠商增值服務提供持續(xù)增長，以幫助客戶獲取更多短期價值并提供技能培訓

Gartner 最近一直強調(diào)客戶體驗，如何做好大客戶服務，可見未來市場信息類服務會越來越多，那么哪家做得好，用戶口碑好，就是最核心的競爭優(yōu)勢。拋開傳統(tǒng)服務，安全廠商開始持續(xù)開發(fā)增值服務，之前看到的 XaaS 就是其中的一個例子，不只是 IaaS、 PaaS、 SaaS，云上整體解決方案，說白了，你只要說一句我家系統(tǒng)要上云，好了，其他您甭管嘞，廠商全給你做好，從前期需求、方案、遷移、部署、上線、測試、安全、運維，您只要掏錢跟我提需求就 OK。這是 Gartner 在今年 3 月提出一種新的云上服務方式。

六、云計算已成為主流平臺，領(lǐng)軍企業(yè)不斷投資和完善自己的云安全能力

云平臺稱為趨勢已成必然，由于信息系統(tǒng)量級，需要逐步遷移，但以目前全球國家大型云服務提供商的服務水平來看，暫時可能還難以提供全方位的支持。阿里云，去年多次故障，嚴重影響客戶；騰訊云，對于技術(shù)問題一刀切，客戶滿意度降低；亞馬遜云，數(shù)據(jù)泄露，外加幾年光纜被挖斷，部分地區(qū)服務中斷；以上只是運維方面的問題，在安全方面，各家也還是采用堆疊式被動防御，提供一堆安全產(chǎn)品，客戶自行選擇購買，雖說是云平臺，高端大氣，未來趨勢，但依舊沒有創(chuàng)新，和傳統(tǒng)網(wǎng)絡安全也沒太大本質(zhì)區(qū)別。何時能夠由被動轉(zhuǎn)為真正的主動式防御，真正為客戶著想，安下心來做好安全，這時才能成為成熟的云計算平臺。

七、CARTA 安全戰(zhàn)略在傳統(tǒng)安全市場開始嶄露頭角

最近兩年，自從 Gartner 提出 CARTA 這個詞以后，就一直在主推它。什么是 CARTA，這里簡單說一下。

CARTA：Continuous Adaptive Risk and Trust Assessment，持續(xù)自適應風險與信任評估。Gartner 推出了一個稱作 CARTA 的戰(zhàn)略方法，強調(diào)要持續(xù)地和自適應地對風險和信任兩個要素進行評估。

風險，是指判定網(wǎng)絡中安全風險，包括判定攻擊、漏洞、違規(guī)、異常等等。持續(xù)自適應風險評估是從防護的角度看問題，力圖識別出壞人（攻擊、漏洞、威脅等）。說到風險，我認為是信息安全中一個很關(guān)鍵的詞?，F(xiàn)在我們更多聽到的是威脅、數(shù)據(jù)，譬如以威脅為核心、數(shù)據(jù)驅(qū)動，等等，以風險為核心感覺過時了一樣。其實，安全還真是要時時以風險為核心！數(shù)據(jù)、威脅、攻擊、漏洞、資產(chǎn)，都是風險的要素和支撐。我們檢測攻擊，包括高級攻擊，最終還是為了評估風險。

信任，是指判定身份，進行訪問控制。持續(xù)自適應信任評估是從訪問控制的角度看問題，力圖識別出好人（授權(quán)、認證、訪問）。

自適應，就是指我們在判定風險（包括攻擊）的時候，不能僅僅依靠阻止措施，我們還要對網(wǎng)絡進行細致地監(jiān)測與響應，這其實就是 ASA 自適應安全架構(gòu)的范疇。另一方面，在我們進行身份與訪問控制的時候，也不能僅僅依靠簡單的憑據(jù)，還需要根據(jù)訪問的上下文和訪問行為進行綜合研判，動態(tài)賦權(quán)、動態(tài)變更權(quán)限。

持續(xù)，就是指這個風險和信任的研判過程是持續(xù)不斷，反復多次進行的。CARTA 強調(diào)對風險和信任的評估分析，這個分析的過程就是一個權(quán)衡的過程。天平很形象地闡釋了 “權(quán)衡” (Balance) 一詞。權(quán)衡的時候，切忌完美 (Perfect)，不能要求零風險，不能追求 100% 信任，否則業(yè)務就沒法開展了。好的做法是不斷地在 0 和 1 之間調(diào)整。

CARTA 能夠從運行、構(gòu)建和規(guī)劃三個維度（反著講）來分別分析客戶的業(yè)務系統(tǒng)如何運用 CARTA 戰(zhàn)略方法。這里最厲害之處是 Gartner 將幾乎所有他們以往定義的技術(shù)細分領(lǐng)域都囊括其中，而且十分自洽。

運行，自適應訪問和自適應保護

訪問，就是從信任的角度去進行訪問控制；保護，就是從風險的角度去進行防御。

自適應保護其實就對應了 Gartner 的自適應安全架構(gòu)。

在談及保護的時候，Gartner 提到了一個響亮的觀點：利用縱深分析（Analytics indepth）和自動化來進行保護。

1）縱深分析：這是一個從縱深防御演進而來的術(shù)語，強調(diào)了隨著安全問題逐漸變成大數(shù)據(jù)問題， 而大數(shù)據(jù)問題正在轉(zhuǎn)變成大分析問題，進而縱深防御也逐漸變成了縱深分析?？v深分析就是要對每個縱深所產(chǎn)生的大量數(shù)據(jù)進行分析研判，動態(tài)地去進行風險與信任評估，同時還要將不同縱深的數(shù)據(jù)進行融合分析。而所有這些分析，都是為了更好的檢測，而檢測是屬于防護的一環(huán)（跟阻斷、響應一起）。

2）自動化：在安全保護中，自動化的本質(zhì)是為了為快速的響應。

總結(jié)

最后，以安全基礎工作為結(jié)尾，在 Gartner2018 十大安全項目就提出了，企業(yè)如果想搞這些比較新的項目之前，要先看看自己的基礎安全做得如何，其中包括：

1) 已經(jīng)有了較為先進的 EPP (Endpoint Protection Platform，端點保護平臺），具備諸如無文件惡意代碼檢測、內(nèi)存注入保護和機器學習的功能；

2) 已經(jīng)做好了基本的 Windows 賬戶管理工作；

3) 已經(jīng)有了 IAM (Identity and Access Management 的縮寫），即 “身份識別與訪問管理”，具有單點登錄、強大的認證管理、基于策略的集中式授權(quán)和審計、動態(tài)授權(quán)、企業(yè)可管理性等功能。

4) 有了常規(guī)化的補丁管理；

5) 已經(jīng)有了標準化的服務器/云工作負載保護平臺代理；

6) 具備較為強健的反垃圾郵件能力；

7) 部署了某種形式的 SIEM 或者日志管理解決方案，具有基本的檢測/響應能力；

8) 建立了備份/恢復機制；

9) 有基本的安全意識培訓；

10) 具備基本的互聯(lián)網(wǎng)出口邊界安全防護能力，包括 URL 過濾能力；

各位，這些工作是否都已經(jīng)做到做好了呢？