Gartner發(fā)布七大安全與風(fēng)險管理新興趨勢

全球領(lǐng)先的信息技術(shù)研究和顧問公司Gartner近日發(fā)布了將在更長時期內(nèi)影響安全、隱私與風(fēng)險領(lǐng)導(dǎo)者的七個安全與風(fēng)險管理新興趨勢。

Gartner將“大”趨勢定義為安全生態(tài)系統(tǒng)中尚未得到廣泛認(rèn)可、但有望產(chǎn)生廣泛的行業(yè)影響并有可能帶來重大顛覆的持續(xù)戰(zhàn)略性轉(zhuǎn)變。

Gartner研究副總裁Peter Firstbrook表示：“外部因素與安全領(lǐng)域特定威脅正在共同影響著整體安全與風(fēng)險態(tài)勢，因此該領(lǐng)域的領(lǐng)導(dǎo)者必須做好提高彈性并支持業(yè)務(wù)目標(biāo)的充分準(zhǔn)備。”

2019年及之后的七大安全與風(fēng)險管理趨勢是：

趨勢一：

風(fēng)險偏好聲明（Risk Appetite Statements）正在與業(yè)務(wù)成果掛鉤

隨著IT戰(zhàn)略與業(yè)務(wù)目標(biāo)更加緊密地結(jié)合在一起，安全與風(fēng)險管理（SRM）領(lǐng)導(dǎo)者向主要業(yè)務(wù)決策者有效提出安全事務(wù)的能力變得愈發(fā)重要。Firstbrook先生表示：“為了避免只關(guān)注與IT決策相關(guān)的問題，請創(chuàng)建可以與業(yè)務(wù)目標(biāo)以及董事會級別決策相關(guān)聯(lián)的簡單、實際且實用的風(fēng)險偏好聲明。業(yè)務(wù)領(lǐng)導(dǎo)者必須明白為何安全領(lǐng)導(dǎo)者要平等地參加戰(zhàn)略性會議。”

趨勢二：

正在重點圍繞威脅檢測與響應(yīng)而部署安全運營中心

隨著安全警報的復(fù)雜性與頻率不斷增加，安全投資在從威脅防御向威脅檢測的轉(zhuǎn)變過程中，需要對安全運營中心（SOC）進(jìn)行投資。根據(jù)Gartner提供的信息，到2022年，50%的安全運營中心將轉(zhuǎn)變?yōu)榫邆渚C合事件響應(yīng)、威脅情報和威脅搜索能力的現(xiàn)代化安全運營中心，而在2015年這一比例還不到10%。Firstbrook先生表示：“安全與風(fēng)險管理領(lǐng)導(dǎo)者需要建立或外包能夠集成威脅情報、整合安全警報并自動響應(yīng)的安全運營中心，這一需求怎么強(qiáng)調(diào)都不過分?！?/p>

趨勢三：

數(shù)據(jù)安全治理框架應(yīng)該優(yōu)先考慮數(shù)據(jù)安全投資

數(shù)據(jù)安全是一個復(fù)雜的問題，如果沒有對數(shù)據(jù)本身、數(shù)據(jù)的創(chuàng)建與使用環(huán)境及其受監(jiān)管程度的深入理解，就無法解決該問題。一些領(lǐng)先的企業(yè)機(jī)構(gòu)正在開始通過數(shù)據(jù)安全治理框架（DSGF）解決數(shù)據(jù)安全問題，而非獲取數(shù)據(jù)保護(hù)產(chǎn)品并嘗試對其進(jìn)行修改以滿足業(yè)務(wù)需求。Firstbrook先生表示：“數(shù)據(jù)安全治理框架提供了一個以數(shù)據(jù)為中心的藍(lán)圖，用于識別與歸類數(shù)據(jù)資產(chǎn)并定義數(shù)據(jù)安全策略。隨后，這用于選擇相關(guān)技術(shù)，借以將風(fēng)險降至最低限度。解決數(shù)據(jù)安全問題的關(guān)鍵，在于從其所解決的業(yè)務(wù)風(fēng)險入手，而不是像多數(shù)公司那樣首先考慮獲取技術(shù)。”

趨勢四：

無密碼認(rèn)證正在引領(lǐng)市場

無密碼身份驗證（例如智能手機(jī)上的Touch ID）開始真正引領(lǐng)市場。由于供需充足，該技術(shù)正在被越來越多地部署到針對消費者與員工的企業(yè)應(yīng)用之中。Firstbrook先生表示：“為了打擊以密碼為目標(biāo)來訪問云端應(yīng)用的黑客，將用戶與其設(shè)備關(guān)聯(lián)起來的無密碼方法提供了更高的安全性和可用性，這是一種難得的安全雙贏?！?/p>

趨勢五：

安全產(chǎn)品廠商正在逐漸提供高級技能與培訓(xùn)服務(wù)

Gartner的研究顯示，網(wǎng)絡(luò)安全崗位空缺將從2018年的100萬增至2020年底的150萬。雖然人工智能和自動化的進(jìn)步確實減少了人類分析標(biāo)準(zhǔn)安全警報的需求，但敏感、復(fù)雜的警報仍然需要人的參與。Firstbrook先生表示：“我們開始看到一些廠商在提供融合產(chǎn)品與運維服務(wù)的解決方案以加速產(chǎn)品采用。從全面管理到部分支持等一系列服務(wù)均旨在提高管理員的技能水平，并減少日常工作量。”

趨勢六：

投資云安全能力并將其作為主流計算平臺

由于可能無法獲得人才且企業(yè)機(jī)構(gòu)完全未為此做好準(zhǔn)備，向云端遷移意味著安全團(tuán)隊的力量有所減弱。Gartner估計，到2023年，大部分云安全故障都將是由客戶的過錯而引發(fā)的。Firstbrook先生表示：“對于許多企業(yè)機(jī)構(gòu)而言，公有云是一種安全可行的選擇，但保證安全性是雙方共同的責(zé)任。各企業(yè)機(jī)構(gòu)必須投資于用來構(gòu)建知識庫的安全技能與治理工具，以跟上云開發(fā)與創(chuàng)新的快速步伐?！?/p>

趨勢七：

Gartner的持續(xù)自適應(yīng)風(fēng)險與信任評估將更多地出現(xiàn)于傳統(tǒng)安全市場

Gartner的持續(xù)自適應(yīng)風(fēng)險與信任評估（CARTA）是一種處理數(shù)字商業(yè)信任評估模糊性的策略。Firstbrook先生表示：“盡管是一個多年過程，但CARTA背后的構(gòu)思是一種應(yīng)對安全的戰(zhàn)略性方法，其平衡了安全摩擦與交易風(fēng)險。持續(xù)自適應(yīng)風(fēng)險與信任評估的一個關(guān)鍵組成部分，是即使在訪問得到展期之后也要持續(xù)評估風(fēng)險與信任。隨著解決方案日益關(guān)注檢測異常行為——即使用戶與設(shè)備通過了認(rèn)證，電子郵件與網(wǎng)絡(luò)安全成為邁向持續(xù)自適應(yīng)風(fēng)險與信任評估方法的兩個安全領(lǐng)域示例。”

責(zé)任編輯：lq6