Gartner發(fā)布2023-2024年八大網(wǎng)絡(luò )安全趨勢預測

2023年4月18日 – Gartner近日公布的網(wǎng)絡(luò )安全重要趨勢預測顯示，半數首席信息安全官（CISO）將采取以人為本的設計，旨在減少網(wǎng)絡(luò )安全運營(yíng)中的摩擦；大型企業(yè)將重點(diǎn)執行零信任計劃；半數網(wǎng)絡(luò )安全領(lǐng)導者將嘗試使用網(wǎng)絡(luò )風(fēng)險量化機制來(lái)推動(dòng)決策，但會(huì )以失敗告終。

在近日召開(kāi)的Gartner安全與風(fēng)險管理峰會(huì )的開(kāi)幕主旨演講中，Gartner高級研究總監Richard Addiscott和咨詢(xún)部門(mén)高級總監Lisa Neubauer探討了Gartner網(wǎng)絡(luò )安全專(zhuān)家提出的重要趨勢預測，這些預測可幫助安全與風(fēng)險管理領(lǐng)導者在數字時(shí)代取得成功。

Addiscott表示：“雖然首席信息安全官及其團隊必須高度關(guān)注當前發(fā)生的事件，才能最大程度地保證其企業(yè)機構的安全，但在關(guān)注日常挑戰的同時(shí)，也應抽出時(shí)間進(jìn)行遠景展望，把握未來(lái)幾年將影響企業(yè)機構安全計劃實(shí)施的趨勢?！?/p>

“這些預測代表著(zhù)我們看到的一些新趨勢，任何希望制定有效、可持續的網(wǎng)絡(luò )安全計劃的首席信息安全官都應給予重視?！?/p>

Gartner建議，網(wǎng)絡(luò )安全領(lǐng)導者應把握以下幾項戰略規劃假設，合理制定未來(lái)兩年的安全戰略。

到2027年，50%的首席信息安全官將正式在其網(wǎng)絡(luò )安全計劃中采用以人為本的設計原則，希望借此將安全運營(yíng)摩擦降至最低，并盡可能采用控制措施。

Gartner調研表明，在承認曾在工作中采取不安全行為的員工中，超過(guò)90%的人雖然意識到自身行為會(huì )增加企業(yè)機構的風(fēng)險，但依然選擇這么做。以人為本的安全設計將人本身（而非技術(shù)、威脅或位置）作為設計和落實(shí)控制措施的核心，以便盡量減少摩擦。 

到2024年，現代隱私法規將覆蓋大多數消費者數據，但只有不到10%的企業(yè)機構能夠成功地將隱私保護轉化為競爭優(yōu)勢。

企業(yè)機構開(kāi)始認識到，在隱私保護計劃的支持下，他們將可以把數據用于更廣泛的用途、實(shí)現與競爭對手的差異化，并獲取客戶(hù)、合作伙伴、投資者和監管機構的信任。Gartner建議，安全領(lǐng)導者應執行符合《通用數據保護條例》（GDPR）的全方位隱私標準，以便在日益激烈的市場(chǎng)競爭中脫穎而出并順利發(fā)展。

到2026年，10%的大型企業(yè)將執行一項全面、成熟、可衡量的零信任計劃，而目前這一比例還不到1%。

執行成熟、大范圍的零信任計劃需要整合并配置多個(gè)不同的系統組件，這可能會(huì )增加技術(shù)難度和復雜性。計劃實(shí)施能否成功，在很大程度上取決于能否創(chuàng )造業(yè)務(wù)價(jià)值。秉持不斷完善的思路并從細微處入手，將使企業(yè)機構更容易從零信任計劃中獲益，并逐步處理一些復雜的問(wèn)題。 

到2027年，75%的員工將在IT部門(mén)之外獨立地獲取、修改或創(chuàng )建技術(shù)，2022年的這一比例為41%。

首席信息安全官的角色和責任范圍正在從負責控制措施轉變?yōu)榇龠M(jìn)風(fēng)險決策。應對即將到來(lái)的變化，關(guān)鍵在于重新構建網(wǎng)絡(luò )安全運營(yíng)模式。Gartner建議，不應僅從技術(shù)和自動(dòng)化的角度思考問(wèn)題，而應通過(guò)與員工深入交流來(lái)影響決策，并確保員工掌握必要的知識以作出明智決策。 

到2025年，50%的網(wǎng)絡(luò )安全領(lǐng)導者將嘗試使用網(wǎng)絡(luò )風(fēng)險量化機制來(lái)推動(dòng)企業(yè)決策，但會(huì )以失敗告終。

Gartner調研表明，62%的網(wǎng)絡(luò )風(fēng)險量化機制采用者提到了增加信譽(yù)和提高網(wǎng)絡(luò )風(fēng)險意識等軟性收益，但只有36%通過(guò)行動(dòng)取得了預期成果，包括降低風(fēng)險、節約成本或切實(shí)影響決策。安全領(lǐng)導者應集中精力實(shí)施決策者所需的量化分析，而不是進(jìn)行自我導向的分析并試圖說(shuō)服業(yè)務(wù)部門(mén)給予認同。 

到2025年，近半數網(wǎng)絡(luò )安全領(lǐng)導者將更換崗位，25%的人將難以承受多重工作所帶來(lái)的壓力，徹底轉到其他崗位。

在疫情影響以及全行業(yè)人員短缺的推動(dòng)下，網(wǎng)絡(luò )安全專(zhuān)業(yè)人員的工作壓力正在不斷上升，并變得無(wú)法承受。Gartner建議，雖然完全杜絕壓力不切實(shí)際，但如果通過(guò)企業(yè)文化獲得支持，人們將有能力完成棘手、壓力較大的工作。通過(guò)改變工作參與規則來(lái)推動(dòng)企業(yè)文化變革，將對此有所助益。 

到2026年，70%的董事會(huì )將增加一名通曉網(wǎng)絡(luò )安全專(zhuān)業(yè)知識的董事。

網(wǎng)絡(luò )安全領(lǐng)導者若想被業(yè)務(wù)部門(mén)視為合作伙伴，就需要了解董事會(huì )和企業(yè)的風(fēng)險偏好。這意味著(zhù)，他們不僅需要展示如何利用網(wǎng)絡(luò )安全計劃防止不利事情的發(fā)生，還要證明此類(lèi)計劃可有效地幫助企業(yè)提高風(fēng)險承受能力。Gartner建議，首席信息安全官應積極地引領(lǐng)變革，向董事會(huì )闡明網(wǎng)絡(luò )安全措施的價(jià)值并提供實(shí)施支持，同時(shí)通過(guò)增進(jìn)與利益相關(guān)者的聯(lián)系來(lái)獲得更大的信任和支持。 

到2026年，超過(guò)60%的威脅檢測、調查和響應（TDIR）解決方案將利用暴露面管理數據來(lái)驗證和優(yōu)先處理被檢測到的威脅，而目前這一比例還不到5%。

隨著(zhù)連接數量的增加以及SaaS和云應用的普及，企業(yè)機構面對的攻擊面正在不斷擴大，因此需要提高可見(jiàn)性和打造中心化平臺，持續地監測各類(lèi)威脅與暴露面情況。TDIR能力提供了一個(gè)可以管理檢測、調查和響應的統一平臺或平臺生態(tài)系統，使安全運營(yíng)團隊能夠全面地掌控風(fēng)險和潛在影響。

 下載免費Gartner電子書(shū)《2023年安全與風(fēng)險管理領(lǐng)導者的領(lǐng)導力愿景》，進(jìn)一步了解2023年安全與風(fēng)險領(lǐng)導者的首要任務(wù)。