在Gartner安全与风险管理峰会上,Gartner提出了近两年来值得关注的八大安全和风险趋势。
Gartner副总分析师表示,过去两年,典型企业已经发生了翻天覆地的变化,随着远程办公成为行业的常态,企业从上至下的整体架构都需要构建相互关联的防御阵势。而在2021年,安全和风险趋势也随之而变化,它们往往对于行业生态和安全构成了极大的威胁。
现在,不妨让我们来看看,Gartner关注的八大趋势,究竟是什么?
趋势一:网络安全网格 (mesh)
面对日益复杂的网络攻击手段,现阶段企业部署的网络安全防御架构几乎很难保证其自身拥有稳定、安全的网络环境。Gartner预测,后续网络安全防御发展的趋势是网络安全网格的构建,作为一种现代安全架构概念,能够使分布式企业在最需要的地方部署和扩展安全性。
2019年起,新型冠状病毒席卷全球,给世界带来致命伤害的同时,也加速了数字资产和企业员工脱离传统基础工作设施。此外,网络安全团队被要求保护各种形式的数字化转型和其他新技术。为了应对未来的网络安全威胁,需要灵活、迅速、可扩展和可组合的安全选择。
趋势二:精通网络的董事会
近些年,因为安全漏洞、勒索软件导致公司业务中断的案例不断涌现,越来越多的公司高层开始关注网络安全。
持续增多的网络安全事件迫使这些企业高层成员意识到,网络攻击是企业的面临的一个巨大风险。为了规避风险,需要筹建专门的委员会,专注于网络安全事务。这就需要具有安全经验的高层(如前首席信息安全官[CISO])或第三方顾问领导。
高层管理具备安全意识,也意味着安全部门可以获得更多的支持和资源,公司的安全架构也将随之变得更完整。
趋势三:厂商整合
根据2020年Gartner发表的企业首席安全官工具使用情况调查报告,安全管理者往往会采用有太多不一样的安全工具。78%的CISO同时使用超过16种安全产品,它们来自于不同的安全厂商;12%CISO会同时使用超过46个安全产品。
为了合理应用这些不同品类的安全产品,需要更繁琐的安全操作和庞大的安全团队。
Gartner研究发现,约80%的企业认为供应商整合其安全产品是提高安全性的一种途径。大型安全供应商也意识到产品的功能分散化不利于企业竞争,正在积极推出集成度更高的产品。然而,产品整合不是一蹴而就,通常需要数年时间才能完成,具有很大的挑战性。
趋势四:身份优先安全
居家工作以及工作云端化,使得身份验证问题逐步永远。身份优先安全并不是一个新提出的理念,但随着攻击者将目光聚焦到获得身份和访问管理功能权限上,以期望实现长时间潜伏,让身份优先安全变得更加急迫了。
现阶段,凭证滥用是攻击者实施违网络攻击活动时最常用的技术。国家级攻击者以身份基础设施为目标展开攻击活动,取得了惊人的成功。
身份是跨越网络封锁的一种关键横向移动技术。越多越多企业开始采用多重身份验证,但是它并不能彻底解决企业面临的网络万威胁问题。企业必须正确配置、维护和监控身份基础设施,不断提高对其重视程度。
趋势五:管理机器身份已成为一项关键的安全功能
随着数字化转型进展的加速,现代应用程序中的非人类实体数量呈爆炸式增长。因此,管理机器身份已成为安全操作的重要组成部分。
目前,所有的现代应用程序都由通过API连接的服务组成,攻击者可以利用供应商的API访问关键数据来谋取私利。因此,每一个服务有必要进行身份验证和监控。
即使企业级机器身份管理的工具和技术不断出现。但是,用于管理机器身份、证书和机密的企业级战略,能够更好地保护企业数字化转型。
趋势六:“远程办公”成为工作常态
根据2021年Gartner CIO调查结果显示,目前,64%的员工可以在家办公,40的员工实际上已经在家工作。
曾经只适用于高管、高级员工和销售人员的办公方式,似乎已经成为主流。 工作方式向混合(或远程工作)的转变是一个持久的趋势,但是,仍有超过75%的知识工作者期待未来的混合工作环境。
值得注意的是,从网络安全角度来看,未来社会实现远程办公,需要企业重新制定安全策略和工具以更好地降低安全风险。
趋势七:入侵和攻击模拟
攻防演练 (BAS)能够实现对安全控制的持续检测和验证,可以帮助企业检验其安全状况,并测试针对企业的外部威胁态势,提供培训,帮助企业提升自身安全防御。
除此之外,BAS还能够提供专门的评估,并强调机密数据等高价值资产的风险。
趋势八:增强隐私的计算技术
隐私增强计算技术(PET)可以时刻保护数据安全。
即使在不受信任环境中,PET依然能够实现安全的数据处理、共享、跨境传输和分析。
由于PET技术的实用价值正在凸显,基于信息安全的考量,它已经成为行业内冉冉上升的新星,迅速从实验室走向了市场。
参考文章:
https://www.gartner.com/smarterwithgartner/gartner-top-security-and-risk-trends-for-2021