全球領(lǐng)先的信息技術(shù)研究和顧問公司Gartner近日發(fā)布了將在更長時期內(nèi)影響安全、隱私與風險領(lǐng)導(dǎo)者的七個安全與風險管理新興趨勢。

Gartner將“大”趨勢定義為安全生態(tài)系統(tǒng)中尚未得到廣泛認可、但有望產(chǎn)生廣泛的行業(yè)影響并有可能帶來重大顛覆的持續(xù)戰(zhàn)略性轉(zhuǎn)變。

Gartner研究副總裁Peter Firstbrook表示：“外部因素與安全領(lǐng)域特定威脅正在共同影響著整體安全與風險態(tài)勢，因此該領(lǐng)域的領(lǐng)導(dǎo)者必須做好提高彈性并支持業(yè)務(wù)目標的充分準備。”

2019年及之后的七大安全與風險管理趨勢是：

趨勢一：

風險偏好聲明（Risk Appetite Statements）正在與業(yè)務(wù)成果掛鉤

隨著IT戰(zhàn)略與業(yè)務(wù)目標更加緊密地結(jié)合在一起，安全與風險管理（SRM）領(lǐng)導(dǎo)者向主要業(yè)務(wù)決策者有效提出安全事務(wù)的能力變得愈發(fā)重要。Firstbrook先生表示：“為了避免只關(guān)注與IT決策相關(guān)的問題，請創(chuàng)建可以與業(yè)務(wù)目標以及董事會級別決策相關(guān)聯(lián)的簡單、實際且實用的風險偏好聲明。業(yè)務(wù)領(lǐng)導(dǎo)者必須明白為何安全領(lǐng)導(dǎo)者要平等地參加戰(zhàn)略性會議。”

趨勢二：

正在重點圍繞威脅檢測與響應(yīng)而部署安全運營中心

隨著安全警報的復(fù)雜性與頻率不斷增加，安全投資在從威脅防御向威脅檢測的轉(zhuǎn)變過程中，需要對安全運營中心（SOC）進行投資。根據(jù)Gartner提供的信息，到2022年，50%的安全運營中心將轉(zhuǎn)變?yōu)榫邆渚C合事件響應(yīng)、威脅情報和威脅搜索能力的現(xiàn)代化安全運營中心，而在2015年這一比例還不到10%。Firstbrook先生表示：“安全與風險管理領(lǐng)導(dǎo)者需要建立或外包能夠集成威脅情報、整合安全警報并自動響應(yīng)的安全運營中心，這一需求怎么強調(diào)都不過分?！?/p>

趨勢三：

數(shù)據(jù)安全治理框架應(yīng)該優(yōu)先考慮數(shù)據(jù)安全投資

數(shù)據(jù)安全是一個復(fù)雜的問題，如果沒有對數(shù)據(jù)本身、數(shù)據(jù)的創(chuàng)建與使用環(huán)境及其受監(jiān)管程度的深入理解，就無法解決該問題。一些領(lǐng)先的企業(yè)機構(gòu)正在開始通過數(shù)據(jù)安全治理框架（DSGF）解決數(shù)據(jù)安全問題，而非獲取數(shù)據(jù)保護產(chǎn)品并嘗試對其進行修改以滿足業(yè)務(wù)需求。Firstbrook先生表示：“數(shù)據(jù)安全治理框架提供了一個以數(shù)據(jù)為中心的藍圖，用于識別與歸類數(shù)據(jù)資產(chǎn)并定義數(shù)據(jù)安全策略。隨后，這用于選擇相關(guān)技術(shù)，借以將風險降至最低限度。解決數(shù)據(jù)安全問題的關(guān)鍵，在于從其所解決的業(yè)務(wù)風險入手，而不是像多數(shù)公司那樣首先考慮獲取技術(shù)。”

趨勢四：

無密碼認證正在引領(lǐng)市場

無密碼身份驗證（例如智能手機上的Touch ID）開始真正引領(lǐng)市場。由于供需充足，該技術(shù)正在被越來越多地部署到針對消費者與員工的企業(yè)應(yīng)用之中。Firstbrook先生表示：“為了打擊以密碼為目標來訪問云端應(yīng)用的黑客，將用戶與其設(shè)備關(guān)聯(lián)起來的無密碼方法提供了更高的安全性和可用性，這是一種難得的安全雙贏?！?/p>

趨勢五：

安全產(chǎn)品廠商正在逐漸提供高級技能與培訓(xùn)服務(wù)

Gartner的研究顯示，網(wǎng)絡(luò)安全崗位空缺將從2018年的100萬增至2020年底的150萬。雖然人工智能和自動化的進步確實減少了人類分析標準安全警報的需求，但敏感、復(fù)雜的警報仍然需要人的參與。Firstbrook先生表示：“我們開始看到一些廠商在提供融合產(chǎn)品與運維服務(wù)的解決方案以加速產(chǎn)品采用。從全面管理到部分支持等一系列服務(wù)均旨在提高管理員的技能水平，并減少日常工作量。”

趨勢六：

投資云安全能力并將其作為主流計算平臺

由于可能無法獲得人才且企業(yè)機構(gòu)完全未為此做好準備，向云端遷移意味著安全團隊的力量有所減弱。Gartner估計，到2023年，大部分云安全故障都將是由客戶的過錯而引發(fā)的。Firstbrook先生表示：“對于許多企業(yè)機構(gòu)而言，公有云是一種安全可行的選擇，但保證安全性是雙方共同的責任。各企業(yè)機構(gòu)必須投資于用來構(gòu)建知識庫的安全技能與治理工具，以跟上云開發(fā)與創(chuàng)新的快速步伐?！?/p>

趨勢七：

Gartner的持續(xù)自適應(yīng)風險與信任評估將更多地出現(xiàn)于傳統(tǒng)安全市場

Gartner的持續(xù)自適應(yīng)風險與信任評估（CARTA）是一種處理數(shù)字商業(yè)信任評估模糊性的策略。Firstbrook先生表示：“盡管是一個多年過程，但CARTA背后的構(gòu)思是一種應(yīng)對安全的戰(zhàn)略性方法，其平衡了安全摩擦與交易風險。持續(xù)自適應(yīng)風險與信任評估的一個關(guān)鍵組成部分，是即使在訪問得到展期之后也要持續(xù)評估風險與信任。隨著解決方案日益關(guān)注檢測異常行為——即使用戶與設(shè)備通過了認證，電子郵件與網(wǎng)絡(luò)安全成為邁向持續(xù)自適應(yīng)風險與信任評估方法的兩個安全領(lǐng)域示例。”

責任編輯：lq6