近日,Gartner亚太区安全与风险管理峰会在线上召开,会上发布了2021年安全与风险管理八大趋势。这八大趋势集合了商业、市场以及技术等不同领域的动态,预计会对整个行业产生深远影响,颠覆现状。其中,身份安全、远程访问安全位列头部趋势。
Gartner宣称,随着新冠疫情加速数字化业务转型,同时传统网络安全实践也备受挑战,安全与风险管理领导者必须积极应对这八大趋势,帮助企业迅速实现重塑。
开幕主题演讲:安全与风险管理的最新趋势
Gartner副总裁Peter Firstbrook
在Gartner的主题演讲中,Gartner副总裁Peter Firstbrook讨论了2021年安全和风险管理的主要趋势,强调了安全生态系统中正在进行的战略转变,这些转变尚未得到普遍认可,但有望对整个行业产生广泛的影响并具有很大的颠覆潜力。
Peter Firstbrook表示,这些趋势反映了所有企业组织面临的持续不断的全球挑战。他提到:“我们面临的第一项挑战就是技能缺口,很多企业很难找到和聘用安全专业人员。”与此同时,2021年安全与风险管理领导者还面临更多其他挑战,比如说复杂的地缘政治形势、越来越多的全球法规、迁移出传统网络的工作场所和工作负载、终端和位置的激增、攻击环境多变等。尤其是,勒索软件和商业邮件的入侵也复杂化了挑战。
这里吐槽一下Garnter的这张图,和以往风格完全不一样,第一眼一种诡异的气息迎面而来。不知道这是不是也是本次疫情推动下Gartner的“新常态”。
趋势一:网络安全网格
网络安全网格是一种现代安全方法,包括在最需要的地方部署控制措施。网络安全网格通过提供基础安全服务以及集中式策略管理和编排功能,使诸多工具能够协同操作,而不是在孤岛模式下使用安全服务或工具。现在大多数IT资产在企业传统边界以外,网络安全网格这种架构可以让组织将安全控制措施的覆盖范围扩大到零散的资产。
趋势二:身份优先安全
这是多年来的理想愿景:所有用户可以随时随地访问(通常叫做“身份即新安全边界”)。由于技术和文化转变,加之当前新冠疫情时期远程办公的普遍性,该愿景已成为现实。身份优先安全将身份置于安全设计的核心,与传统的局域网边缘设计思想大不相同。
Firstbrook表示:“SolarWinds攻击表明了我们在管理和监控身份方面做得不够好。虽然企业组织在多因素身份验证、单点登录和生物特征身份验证上花费了大量金钱和时间,但在有效监控身份验证以发现针对该基础架构的攻击上所花的资金和时间却少之又少。”
这句话算是总结到位了,企业花大把的金钱和精力放在采购和方案设计上,而对于落地性和效果却很少关注,虎头蛇尾的项目从未减少。我们只关注高大上的方案,新潮的技术,至于落地和效果,那是以后的事。
趋势三:远程工作得到安全支持
据Gartner《2021 Gartner CIO Agenda Survey》显示,现在64%的员工能够在家办公。Gartner的调查显示,至少30%至40%的人疫情后会继续远程办公。对于许多组织而言,这种转变需要重新考虑适合现代远程办公场所的策略和安全工具。比如,端点保护服务将需要成为一种云交付的服务。安全主管还需要重新考虑用于数据保护、灾难恢复和备份的策略,以确保它们仍适用于新的远程环境。
趋势四:精通网络(知识)的董事会
在Gartner的《Gartner 2021 Board of Directors Survey》中,许多董事将网络安全评为企业面临的第二大风险源,仅次于合规。大企业正开始在董事会层面设立专门的网络安全委员会,由具有安全专长的董事会成员或第三方顾问担任负责人。
Gartner预测,到2025年,40%的董事会将设有专门的网络安全委员会,由称职的董事会成员监督,而今天这个比例不足10%。
可以看出安全真的是未来无论是基础设施、企业还是政府部门等等的基础标配,预计未来网络安全会成为一个独立分支,不再依附于IT之下,因为其重要性日渐提升,CISO可能将直接向CEO进行汇报。那种在运维手下做安全的日子可能要一去不复返了。
趋势五:安全供应商整合
Gartner的《2020 CISO Effectiveness Survey》发现,78%的CISO在其网络安全供应商产品组合中至少有16种工具,12%的CISO至少有46种工具。组织中大量安全产品增加了复杂性、集成成本和人员配备要求。在Gartner最近的一项调查中,80%的IT组织表示它们计划在今后三年内整合供应商。
Firstbrook先生认为:“CISO渴望整合他们要处理的众多安全产品和供应商。如果拥有较少的安全解决方案,就能轻松正确地配置、响应报警,从而改善安全风险状况。但是,购买一种更广泛的平台从实施所需的成本和时间来看可能存在不足。我们建议关注长期的总体拥有成本(TCO),作为衡量成功的标准。”
这个问题应该是老生常谈了,尤其在传统企业中更是十分突出,以至于形成一种混合IT的场景,运维非常复杂,成本也很高。感觉这里Gartner是在预示SASE这种平台服务(当然也可以私有化部署),或者是目前各家大厂主推的零信任框架解决方案,可以明显减少复杂供应链和产品类别的问题。这方面AWS、Zscaler都是比较好的例子。
趋势六:增强隐私计算
增强隐私计算技术正在兴起,该技术可以在数据使用时保护数据,而不是在数据静止或移动时保护,以确保安全的数据处理、共享、跨境传输和分析,即使在不受信任的环境下也可满足需求。这项技术越来越多地实施在欺诈分析、情报、数据共享、金融服务(如反洗钱)、制药和医疗保健等领域。
Gartner预测,到2025年,50%的大型组织将采用增强隐私计算,用于在不受信任的环境或多方数据分析使用场景中处理数据。
这里应该是指多方计算、联邦学习、差分隐私、同态加密等技术的应用,因为这些技术目前的应用情况也比较初级,那么这里的增强隐私计算具体是指加强这些技术的应用还是增强技术本身的能力,可能要等官方后续的说明了。
趋势七:泄露和攻击模拟
如今出现了泄露和攻击模拟(Breach and attack simulation,BAS)工具,可提供连续的防御态势评估;相比之下,渗透测试所提供的的年度积分评估可见性就比较有限。当CISO将BAS纳为其常规安全评估的一部分时,可以帮助团队更有效地发现环境中的安全缺口,并能更高效地确定安全计划的优先级。
趋势八:管理机器身份
机器身份管理旨在建立和管理与其他实体(比如设备、应用程序、云服务或网关)交互的机器的身份可信。现在组织中的非人类实体越来越多,这意味着管理机器身份已成为安全策略的一个重要组成部分。
三种方法获得对安全意识计划的支持
Gartner资深分析师Richard Addiscott
从高管获取安全意识计划的投资取决于有说服力的理由和强大的谈判技巧。支持可能会因为更大的项目争夺关注而被忽略或优先考虑。在本次会议中,Gartner的高级分析师Richard Addiscott讨论了三种可以帮助相关人员为计划获得组织支持的方法。
要点
缺乏针对安全意识计划的管理支持,会对安全团队在整个组织中渗透其关键信息的能力产生重大影响。
需要在要实现的目标与业务受众和组织目标之间建立明确联系。
提供近期事件的具体案例,以帮助构建故事中的信息;无论是关于公司,竞争对手,还是时事或其他行业报告。
使用可衡量的数据来传达信息。拥有可量化的数据点对于阐明程序的有效性并以听众可以理解的描述来说明至关重要。
知道如何很好地讲故事可能是决定安全意识信息是否被接收,理解和认可的关键因素。
建立信息安全工作战略
Gartner顾问高级总监Beth Schumaecker
在数字时代支持业务需要信息安全人员拥有比过去更加多样化的技能。在本次会议中,Gartner咨询部门高级主管Beth Schumaecker概述了成功所需的技能和能力。
要点
关键是要根据方向以及未来的人才需求如何支持业务战略,而不是短期的人才预测,来制定安全工作战略。
定期与业务合作伙伴进行讨论,讨论他们的业务重点和目标,而不是安全的重点。以安全为中心的对话可能会错过更大的目标,并限制当前和未来人才需求的视野。
通过分析业务战略并全面了解安全技能组合,确认安全人才缺口。
解决人才风险的策略很多,包括技能提升,技能培训,工作轮换,外包和重新设计工作。良好的工作计划意味着要搞清楚自己需要采用哪些策略。
Gartner的漏洞管理战略构想
Gartner副总裁Craig Lawson
漏洞管理是关键安全过程。但是,许多组织在优化程序以实现预期结果方面都存在问题。本次会议中,Gartner副总裁Craig Lawson讨论了Gartner关于漏洞管理的战略构想,并提供了有关安全主管如何在组织中实现这一点的实用性指导。
要点
毫无疑问,漏洞管理可能是安全运营中要做的最好的主动防护措施。
可以对漏洞程序进行的重大变更之一就是将重点放在暴露在外可被利用的漏洞上。那应该是第一目标,它将最大化,最快速地降低风险。
不要考虑漏洞是否可以通过网络利用或访问,还是中等风险或高级别。您想知道的是攻击者是否正在利用它们。
查看现有的漏洞评估解决方案,并寻求更合适的优先级。确保它们在环境中支持新资产,例如云,容器和物联网。如果没有,那就改进或更换解决方案。
补丁不是全部。它很难,也会破系统且花费大量时间。制定计划B——你的手里拥有的应该是更多的武器而不是补丁。
如果在漏洞程序方面做得很好,则可以大大减少攻击面。对于攻击者而言,操作就会更加困难,因为他要试图让攻击发挥作用。这是一件大事。
解决新冠病毒后世界中的远程访问挑战
Gartner分析师高级总监Rob Smith
没有人已对新冠病毒所带来的远程办公环境中的攻击做好准备。Gartner分析师高级总监Rob Smith讨论了远程访问VPN如何在一夜之间成为最重要的技术之一,以及组织如何为用户和运营实施正确的远程访问解决方案。
要点
远程访问VPN可以说是当今安全,基础架构和运营中最重要的技术。
随着疫情的出现,员工现在需要VPN才能“进入办公室”。
为组织集思广益的最佳VPN技术的第一步是根据四个关键变量定义用例:
1)用户
2)设备
3)数据
4)位置
没有所谓正确的远程访问方法——企业必须了解各种解决方案的优势和局限性。
除非绝对必要,否则请不要使用永远在线的VPN。
对于偏执的安全人员来说,虚拟桌面基础架构(VDI)解决方案是最好的。它阻止了企业数据将其发送到设备,但是,最终用户带宽水平对于不同位置的工作人员来说是一个潜在的告警。
对组织重要的数据进行分类,而非试图保护所有数据,然后根据该分类选择适当的控件。
隐私展望2021
Gartner副总裁Nader Henein
每月都有提议,通过或推翻新的隐私法案。客户信任取决于组织如何处理数据,因为如果消费者不满意,他们很可能会考虑别家的同类服务。在这次会议上,Gartner研究副总裁Nader Henein表示,隐私不是一个一次性的项目,而是一个刚刚开始的正在进行的程序。
要点
创建一个强大的隐私程序意味着要了解三件事:
1)当前的法规环境
2)支持该程序的技术能力
3)可以将控制权交还给客户的最佳实践
新冠病毒突显了《通用数据保护条例》(GDPR)建立的框架的成熟度。这对全球隐私产生了显着影响。
尽管对于组织来说,手动启动隐私发现流程以了解其数据的复杂性很重要,但很快就会发现,需要自动化来实现规模扩展。
隐私程序成功的一个关键因素是与其他组织团队建立伙伴关系。与首席数据官(CDO)联系,了解正在使用的数据以及如何使用保护隐私的替代方法来支持它们。
隐私属于个人。
当控制要处理的数据并将其交还给消费者时,合规性不再仅仅是目标。它成为业务道德架构的一部分。
在疫情期间,变革的压力已经增加,而这样做的关键在于信任:到2023年,可以灌输数字信任的组织将能够参与50%以上的生态系统,以扩大创收机会。
相关链接
来源:腾讯安全天幕团队