本文來(lái)自Gartner官網(wǎng)、數(shù)據(jù)安全和隱私計(jì)算。
2023年4月12日,Gartner發(fā)布了最新的2023年9大頂級(jí)網(wǎng)絡(luò)安全趨勢(shì),安全領(lǐng)導(dǎo)者必須轉(zhuǎn)向聚焦以人為本(Human-Centric Focus),以建立有效的網(wǎng)絡(luò)安全計(jì)劃。
根據(jù)Gartner公司的說(shuō)法,安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者在按照九個(gè)行業(yè)頂級(jí)趨勢(shì)創(chuàng)建和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新思考他們?cè)诩夹g(shù)和以人為中心的元素之間的投資平衡。
Gartner的高級(jí)分析師Richard Addiscott表示:“以人為中心的網(wǎng)絡(luò)安全方法對(duì)于減少安全故障至關(guān)重要。關(guān)注控制設(shè)計(jì)和實(shí)施中的人員,以及通過(guò)商業(yè)溝通和網(wǎng)絡(luò)安全人才管理來(lái)改善業(yè)務(wù)風(fēng)險(xiǎn)決策和網(wǎng)絡(luò)安全人員保留。”
為了應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃,SRM領(lǐng)導(dǎo)者必須專(zhuān)注于三個(gè)關(guān)鍵領(lǐng)域:(i)人員在安全計(jì)劃成功和可持續(xù)性方面的基本作用;(ii)技術(shù)安全能力,提供跨組織數(shù)字生態(tài)系統(tǒng)更大的可見(jiàn)性和響應(yīng)能力;以及(iii)重新調(diào)整安全功能的運(yùn)作方式,實(shí)現(xiàn)敏捷性而不影響安全。
以下九種趨勢(shì)將對(duì)這三個(gè)領(lǐng)域的SRM領(lǐng)導(dǎo)者產(chǎn)生廣泛影響:
趨勢(shì)1:以人為本的安全設(shè)計(jì)
以人為本的安全設(shè)計(jì)優(yōu)先考慮員工體驗(yàn)在整個(gè)控制管理生命周期中的作用。到2027年,50%的大型企業(yè)首席信息安全官(CISO)將采用以人為本的安全設(shè)計(jì)實(shí)踐,以最大限度地減少網(wǎng)絡(luò)安全引起的摩擦并最大限度地采用控制措施。
“傳統(tǒng)的安全意識(shí)計(jì)劃未能減少不安全的員工行為,”Addiscott說(shuō)。“首席信息安全官必須審查過(guò)去的網(wǎng)絡(luò)安全事件,以確定網(wǎng)絡(luò)安全引起的摩擦的主要來(lái)源,并確定他們可以在哪些方面通過(guò)更多以人為本的控制來(lái)減輕員工的負(fù)擔(dān),或者在沒(méi)有顯著降低風(fēng)險(xiǎn)的情況下取消增加摩擦的控制。”
趨勢(shì)2:加強(qiáng)人員管理以實(shí)現(xiàn)安全計(jì)劃的可持續(xù)性
傳統(tǒng)上,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者專(zhuān)注于改進(jìn)支持其計(jì)劃的技術(shù)和流程,對(duì)創(chuàng)建這些變化的人員關(guān)注較少。采取以人為本的人才管理方法來(lái)吸引和保留人才的CISO已經(jīng)看到了他們的功能和技術(shù)成熟度的提高。
到2026年,Gartner預(yù)測(cè),60%的組織將從外部招聘轉(zhuǎn)向從內(nèi)部人才市場(chǎng)“悄悄招聘”,以應(yīng)對(duì)系統(tǒng)性網(wǎng)絡(luò)安全和招聘挑戰(zhàn)。
趨勢(shì)3:轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營(yíng)模式以支持價(jià)值創(chuàng)造
技術(shù)正在從中央IT職能轉(zhuǎn)移到業(yè)務(wù)線、企業(yè)職能、融合團(tuán)隊(duì)和員工個(gè)人。Gartner的一項(xiàng)調(diào)查發(fā)現(xiàn),41%的員工從事某種技術(shù)工作,這一趨勢(shì)預(yù)計(jì)將在未來(lái)五年內(nèi)繼續(xù)增長(zhǎng)。
“企業(yè)領(lǐng)導(dǎo)者現(xiàn)在普遍認(rèn)為,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是需要管理的首要業(yè)務(wù)風(fēng)險(xiǎn),而不是需要解決的技術(shù)問(wèn)題,Addiscott說(shuō)道。“支持和加速業(yè)務(wù)成果是核心的網(wǎng)絡(luò)安全優(yōu)先事項(xiàng),但仍然是一個(gè)主要的挑戰(zhàn)。”
CISO必須修改其網(wǎng)絡(luò)安全的運(yùn)營(yíng)模型,以整合工作的完成方式。員工必須知道如何平衡許多風(fēng)險(xiǎn),包括網(wǎng)絡(luò)安全、財(cái)務(wù)、聲譽(yù)、競(jìng)爭(zhēng)和法律風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全也必須通過(guò)衡量和報(bào)告成功情況與業(yè)務(wù)成果和優(yōu)先事項(xiàng)相結(jié)合,與業(yè)務(wù)價(jià)值相連接。
趨勢(shì)4:威脅暴露管理
現(xiàn)代企業(yè)的攻擊面復(fù)雜且容易產(chǎn)生疲勞。CISO必須改進(jìn)他們的評(píng)估實(shí)踐,以通過(guò)實(shí)施持續(xù)威脅暴露管理(CTEM)計(jì)劃來(lái)了解他們面臨的威脅。Gartner預(yù)測(cè),到2026年,根據(jù)CTEM計(jì)劃優(yōu)先考慮其安全投資的組織遭受的違規(guī)行為將減少三分之二。
“CISO必須不斷改進(jìn)他們的威脅評(píng)估實(shí)踐,以跟上他們組織不斷發(fā)展的工作實(shí)踐,使用CTEM方法來(lái)評(píng)估不僅僅是技術(shù)漏洞,”Addiscott說(shuō)。
趨勢(shì)5:身份結(jié)構(gòu)免疫力
脆弱的身份基礎(chǔ)設(shè)施是由身份結(jié)構(gòu)中的不完整、配置錯(cuò)誤或易受攻擊的元素造成的。到2027年,身份結(jié)構(gòu)免疫原則將防止85%的新攻擊,從而將違規(guī)行為的財(cái)務(wù)影響減少80%。
“身份結(jié)構(gòu)免疫性不僅通過(guò)身份威脅和檢測(cè)響應(yīng)(ITDR)保護(hù)結(jié)構(gòu)中現(xiàn)有的和新的IAM組件,而且還通過(guò)完成和正確配置它來(lái)加強(qiáng)它,”Addiscott說(shuō)。
趨勢(shì)6:網(wǎng)絡(luò)安全驗(yàn)證
網(wǎng)絡(luò)安全驗(yàn)證匯集了用于驗(yàn)證潛在攻擊者如何利用已識(shí)別威脅暴露的技術(shù)、流程和工具。網(wǎng)絡(luò)安全驗(yàn)證所需的工具正在取得重大進(jìn)展,以自動(dòng)化評(píng)估的可重復(fù)和可預(yù)測(cè)方面,實(shí)現(xiàn)攻擊技術(shù)、安全控制和流程的定期基準(zhǔn)測(cè)試。到2026年,超過(guò)40%的組織(包括三分之二的中型企業(yè))將依靠整合平臺(tái)來(lái)運(yùn)行網(wǎng)絡(luò)安全驗(yàn)證評(píng)估。
趨勢(shì)7:網(wǎng)絡(luò)安全平臺(tái)合并
隨著組織尋求簡(jiǎn)化運(yùn)營(yíng),供應(yīng)商正在圍繞一個(gè)或多個(gè)主要網(wǎng)絡(luò)安全領(lǐng)域整合平臺(tái)。比如,身份安全服務(wù)可以通過(guò)一個(gè)共同的平臺(tái)提供,該平臺(tái)結(jié)合了治理、特權(quán)訪問(wèn)和訪問(wèn)管理功能。SRM領(lǐng)導(dǎo)者需要不斷進(jìn)行安全控制庫(kù)存,以了解重疊存在的地方,并通過(guò)合并的平臺(tái)減少冗余。
趨勢(shì)8:可組合的業(yè)務(wù)需要可組合的安全性
組織必須從依賴單一系統(tǒng)過(guò)渡到在其應(yīng)用程序中構(gòu)建模塊化功能,以響應(yīng)不斷加快的業(yè)務(wù)變化步伐??山M合安全是一種將網(wǎng)絡(luò)安全控制集成到架構(gòu)模式中,然后在可組合技術(shù)實(shí)現(xiàn)中以模塊化級(jí)別應(yīng)用的方法。到2027年,將有50%以上的核心業(yè)務(wù)應(yīng)用程序使用可組成架構(gòu)構(gòu)建,需要新的方法來(lái)保護(hù)這些應(yīng)用程序。
“可組合安全性旨在保護(hù)可組合業(yè)務(wù),”Addiscott說(shuō)。“使用可組合組件創(chuàng)建應(yīng)用程序會(huì)引入未發(fā)現(xiàn)的依賴關(guān)系。對(duì)于CISO來(lái)說(shuō),這是一個(gè)重要的機(jī)會(huì),可以通過(guò)創(chuàng)建基于組件的、可重用的安全控制對(duì)象來(lái)設(shè)計(jì)嵌入隱私和安全性。”
趨勢(shì)9:董事會(huì)擴(kuò)大其在網(wǎng)絡(luò)安全監(jiān)督方面的能力
董事會(huì)對(duì)網(wǎng)絡(luò)安全的日益關(guān)注受到網(wǎng)絡(luò)安全明確級(jí)別問(wèn)責(zé)制趨勢(shì)的推動(dòng),將加強(qiáng)董事會(huì)成員在治理活動(dòng)中的責(zé)任包括在內(nèi)。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人必須向董事會(huì)提供報(bào)告,證明網(wǎng)絡(luò)安全計(jì)劃對(duì)組織目標(biāo)的影響。
“SRM領(lǐng)導(dǎo)者必須鼓勵(lì)董事會(huì)積極參與網(wǎng)絡(luò)安全決策制定,”Addiscott說(shuō)。“作為戰(zhàn)略顧問(wèn),為董事會(huì)采取的行動(dòng)提供建議,包括預(yù)算分配和安全資源。”
文章鏈接:https://mp.weixin.qq.com/s/at5RxDifETHRLcG-IKl_jA