Gartner發(fā)布2023年網(wǎng)絡(luò)安全重要趨勢(shì)

Gartner表示，安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者在制定和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí)，必須根據(jù)九大行業(yè)趨勢(shì)，重新平衡企業(yè)機(jī)構(gòu)在技術(shù)方面和以人為本方面的投入。

Gartner高級(jí)研究總監(jiān)Richard Addiscott表示：“以人為本的網(wǎng)絡(luò)安全原則是減少安全故障的關(guān)鍵。在設(shè)計(jì)和實(shí)施控制措施的過(guò)程中堅(jiān)持人為中心，積極地與業(yè)務(wù)部門溝通并實(shí)施網(wǎng)絡(luò)安全人才管理，有助于改進(jìn)業(yè)務(wù)風(fēng)險(xiǎn)決策，提高網(wǎng)絡(luò)安全人才的留存率。”

為應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃，SRM領(lǐng)導(dǎo)者必須重視以下三個(gè)關(guān)鍵領(lǐng)域：（1）發(fā)揮人才對(duì)于安全計(jì)劃的成功和持續(xù)推進(jìn)的重要作用；（2）發(fā)展可提高整個(gè)企業(yè)機(jī)構(gòu)數(shù)字生態(tài)系統(tǒng)可見(jiàn)性與響應(yīng)性的安全技術(shù)能力；（3）重構(gòu)安全職能的運(yùn)作方式，在不影響安全性的情況下實(shí)現(xiàn)敏捷性。

以下九個(gè)趨勢(shì)將在這三個(gè)領(lǐng)域?qū)�SRM領(lǐng)導(dǎo)者產(chǎn)生廣泛影響：

趨勢(shì)1：以人為本的安全設(shè)計(jì)

采用以人為本的設(shè)計(jì)原則，將員工體驗(yàn)在整個(gè)控制措施管理生命周期中的作用放在第一位。到2027年，50%的大型企業(yè)首席信息安全官（CISO）將采用以人為本的安全設(shè)計(jì)原則，以盡量減少網(wǎng)絡(luò)安全運(yùn)營(yíng)摩擦，并盡可能推動(dòng)控制措施的采用。

Addiscott表示：“傳統(tǒng)的安全意識(shí)培養(yǎng)計(jì)劃未能減少不安全的員工行為。首席信息安全官必須重新審視過(guò)去的網(wǎng)絡(luò)安全事件，確定網(wǎng)絡(luò)安全運(yùn)營(yíng)摩擦的主要來(lái)源，判斷在實(shí)施控制措施的同時(shí)如何通過(guò)更多人文關(guān)懷來(lái)減輕員工的負(fù)擔(dān)，或取消那些增加摩擦卻無(wú)法有效降低風(fēng)險(xiǎn)的控制措施。”

趨勢(shì)2：改進(jìn)人才管理，保障安全計(jì)劃的可持續(xù)性

以前，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者始終重視改進(jìn)安全計(jì)劃背后的技術(shù)和流程，很少關(guān)注具體的實(shí)施者。為吸引和留住人才，不少首席信息安全官采用以人為本的人才管理方法，推動(dòng)安全職能和技術(shù)的日益成熟。Gartner預(yù)測(cè)，到2026年，為了解決系統(tǒng)性的網(wǎng)絡(luò)安全和招聘難題，60%的企業(yè)機(jī)構(gòu)將從對(duì)外招聘轉(zhuǎn)向 “悄悄招聘”，在企業(yè)機(jī)構(gòu)內(nèi)部物色所需的人才。

趨勢(shì)3：轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營(yíng)模式，推動(dòng)價(jià)值創(chuàng)造

技術(shù)正在從中央IT部門轉(zhuǎn)移到各業(yè)務(wù)線、職能部門、融合團(tuán)隊(duì)和員工個(gè)人。Gartner的一項(xiàng)調(diào)研發(fā)現(xiàn)，41%的員工在從事某種技術(shù)工作，并且該趨勢(shì)預(yù)計(jì)將在未來(lái)五年繼續(xù)加深。

Addiscott表示：“如今企業(yè)領(lǐng)導(dǎo)者普遍認(rèn)為，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)已成為需認(rèn)真對(duì)待的首要業(yè)務(wù)風(fēng)險(xiǎn)，而不再僅僅是有待解決的技術(shù)問(wèn)題。支持和加速業(yè)務(wù)成果，既是網(wǎng)絡(luò)安全工作的核心目標(biāo)，也是一項(xiàng)重大的挑戰(zhàn)。”

首席信息安全官必須調(diào)整網(wǎng)絡(luò)安全的運(yùn)營(yíng)模式，通過(guò)綜合方法達(dá)成工作目標(biāo)。員工必須了解如何平衡網(wǎng)絡(luò)安全、財(cái)務(wù)、聲譽(yù)、競(jìng)爭(zhēng)、法律等諸多方面的風(fēng)險(xiǎn)。還必須將網(wǎng)絡(luò)安全與業(yè)務(wù)價(jià)值掛鉤，從業(yè)務(wù)成果和重點(diǎn)目標(biāo)的角度來(lái)衡量和報(bào)告項(xiàng)目效果。

趨勢(shì)4：威脅暴露面管理

現(xiàn)代企業(yè)面臨的攻擊面十分復(fù)雜，導(dǎo)致安全防護(hù)人員身心疲憊。首席信息安全官必須改善評(píng)估方法，實(shí)施連續(xù)威脅暴露面管理（CTEM）計(jì)劃來(lái)了解威脅暴露情況。Gartner預(yù)測(cè)，到2026年，根據(jù)CTEM計(jì)劃確定安全投資優(yōu)先級(jí)的企業(yè)機(jī)構(gòu)將有能力使安全泄露事件減少三分之二。

Addiscott表示：“首席信息安全官必須不斷完善威脅評(píng)估方法，才能與企業(yè)機(jī)構(gòu)不斷發(fā)展的工作方法相匹配。CTEM方法不應(yīng)僅僅用于評(píng)估技術(shù)漏洞。”

趨勢(shì)5：身份編織免疫

身份基礎(chǔ)設(shè)施的脆弱性來(lái)自于身份編織中的不完整、配置錯(cuò)誤或脆弱的要素。到2027年，企業(yè)機(jī)構(gòu)將依靠身份編織免疫原則阻止85%的新攻擊，進(jìn)而將安全泄露所造成的財(cái)務(wù)影響減少80%。  

Addiscott表示：“身份編織免疫不僅能利用身份威脅檢測(cè)和響應(yīng)（ITDR）來(lái)保護(hù)現(xiàn)有和新增的身份與訪問(wèn)管理（IAM）組件，而且還通過(guò)完善和正確配置來(lái)對(duì)身份編織進(jìn)行加固。”

趨勢(shì)6：網(wǎng)絡(luò)安全驗(yàn)證

網(wǎng)絡(luò)安全驗(yàn)證匯集了多項(xiàng)技術(shù)、流程和工具，旨在對(duì)潛在攻擊者利用已知威脅暴露面的方式進(jìn)行驗(yàn)證。支持網(wǎng)絡(luò)安全驗(yàn)證的工具已取得重大進(jìn)步，已實(shí)現(xiàn)可重復(fù)以及可預(yù)測(cè)評(píng)估環(huán)節(jié)的自動(dòng)化，支持對(duì)于攻擊技術(shù)、安全控制和流程的常規(guī)基準(zhǔn)化分析。到2026年，超過(guò)40%的企業(yè)機(jī)構(gòu)（其中三分之二為中型企業(yè)）將依靠整合平臺(tái)來(lái)執(zhí)行網(wǎng)絡(luò)安全驗(yàn)證評(píng)估。

趨勢(shì)7：網(wǎng)絡(luò)安全平臺(tái)整合

由于企業(yè)機(jī)構(gòu)希望簡(jiǎn)化運(yùn)營(yíng)，各廠商正在圍繞一個(gè)或多個(gè)主要的網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行平臺(tái)整合。例如，通過(guò)一個(gè)集治理、特許訪問(wèn)和訪問(wèn)管理功能于一身的共同平臺(tái)提供身份安全服務(wù)。SRM領(lǐng)導(dǎo)者需要持續(xù)盤點(diǎn)安全控制措施，以便了解哪些領(lǐng)域存在功能重疊，并通過(guò)整合平臺(tái)減少冗余。

趨勢(shì)8：組裝式業(yè)務(wù)需要組裝式安全

為應(yīng)對(duì)不斷加快的業(yè)務(wù)變化步伐，企業(yè)機(jī)構(gòu)必須從擺脫對(duì)單體系統(tǒng)的依賴，轉(zhuǎn)而向各類應(yīng)用添加模塊化功能。組裝式安全是指將網(wǎng)絡(luò)安全控制措施整合到架構(gòu)模式中，然后以模塊化方式運(yùn)用至可組裝技術(shù)中。到2027年，超過(guò)50%的核心業(yè)務(wù)應(yīng)用將使用組裝式架構(gòu)，因此需要一種新方法來(lái)保護(hù)這些應(yīng)用的安全。 

Addiscott表示：“組裝式安全專為保護(hù)組裝式業(yè)務(wù)而設(shè)計(jì)。使用組裝式組件創(chuàng)建應(yīng)用，會(huì)引入以往尚未發(fā)現(xiàn)的依賴關(guān)系。這給首席信息安全官帶來(lái)重要機(jī)遇，可創(chuàng)建基于組件、可重復(fù)使用的安全控制對(duì)象，在設(shè)計(jì)時(shí)提前嵌入隱私和安全措施。”

趨勢(shì)9：董事會(huì)擴(kuò)大網(wǎng)絡(luò)安全監(jiān)管權(quán)限

由于網(wǎng)絡(luò)安全責(zé)任的歸屬日益明確，而董事會(huì)成員在治理活動(dòng)中的責(zé)任也越來(lái)越大，因此董事會(huì)對(duì)網(wǎng)絡(luò)安全更加重視。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者必須向董事會(huì)提供相關(guān)的報(bào)告，證明網(wǎng)絡(luò)安全計(jì)劃對(duì)企業(yè)機(jī)構(gòu)短期和長(zhǎng)期目標(biāo)的影響。

Addiscott表示：“SRM領(lǐng)導(dǎo)者必須鼓勵(lì)董事會(huì)積極參與和介入網(wǎng)絡(luò)安全決策，同時(shí)以戰(zhàn)略顧問(wèn)的身份向董事會(huì)提供行動(dòng)建議，包括安全預(yù)算和資源的分配等。”