Gartner發(fā)布2023年網(wǎng)絡(luò )安全重要趨勢

2023年4月20日 – Gartner表示，安全和風(fēng)險管理（SRM）領(lǐng)導者在制定和實(shí)施網(wǎng)絡(luò )安全計劃時(shí)，必須根據九大行業(yè)趨勢，重新平衡企業(yè)機構在技術(shù)方面和以人為本方面的投入。

Gartner高級研究總監Richard Addiscott表示：“以人為本的網(wǎng)絡(luò )安全原則是減少安全故障的關(guān)鍵。在設計和實(shí)施控制措施的過(guò)程中堅持人為中心，積極地與業(yè)務(wù)部門(mén)溝通并實(shí)施網(wǎng)絡(luò )安全人才管理，有助于改進(jìn)業(yè)務(wù)風(fēng)險決策，提高網(wǎng)絡(luò )安全人才的留存率?！?/span>

為應對網(wǎng)絡(luò )安全風(fēng)險并維持有效的網(wǎng)絡(luò )安全計劃，SRM領(lǐng)導者必須重視以下三個(gè)關(guān)鍵領(lǐng)域：（1）發(fā)揮人才對于安全計劃的成功和持續推進(jìn)的重要作用；（2）發(fā)展可提高整個(gè)企業(yè)機構數字生態(tài)系統可見(jiàn)性與響應性的安全技術(shù)能力；（3）重構安全職能的運作方式，在不影響安全性的情況下實(shí)現敏捷性。

以下九個(gè)趨勢將在這三個(gè)領(lǐng)域對SRM領(lǐng)導者產(chǎn)生廣泛影響：

趨勢1：以人為本的安全設計

采用以人為本的設計原則，將員工體驗在整個(gè)控制措施管理生命周期中的作用放在第一位。到2027年，50%的大型企業(yè)首席信息安全官（CISO）將采用以人為本的安全設計原則，以盡量減少網(wǎng)絡(luò )安全運營(yíng)摩擦，并盡可能推動(dòng)控制措施的采用。

Addiscott表示：“傳統的安全意識培養計劃未能減少不安全的員工行為。首席信息安全官必須重新審視過(guò)去的網(wǎng)絡(luò )安全事件，確定網(wǎng)絡(luò )安全運營(yíng)摩擦的主要來(lái)源，判斷在實(shí)施控制措施的同時(shí)如何通過(guò)更多人文關(guān)懷來(lái)減輕員工的負擔，或取消那些增加摩擦卻無(wú)法有效降低風(fēng)險的控制措施?！?/span>

趨勢2：改進(jìn)人才管理，保障安全計劃的可持續性

以前，網(wǎng)絡(luò )安全領(lǐng)導者始終重視改進(jìn)安全計劃背后的技術(shù)和流程，很少關(guān)注具體的實(shí)施者。為吸引和留住人才，不少首席信息安全官采用以人為本的人才管理方法，推動(dòng)安全職能和技術(shù)的日益成熟。Gartner預測，到2026年，為了解決系統性的網(wǎng)絡(luò )安全和招聘難題，60%的企業(yè)機構將從對外招聘轉向 “悄悄招聘”，在企業(yè)機構內部物色所需的人才。

趨勢3：轉變網(wǎng)絡(luò )安全運營(yíng)模式，推動(dòng)價(jià)值創(chuàng )造

技術(shù)正在從中央IT部門(mén)轉移到各業(yè)務(wù)線(xiàn)、職能部門(mén)、融合團隊和員工個(gè)人。Gartner的一項調研發(fā)現，41%的員工在從事某種技術(shù)工作，并且該趨勢預計將在未來(lái)五年繼續加深。

Addiscott表示：“如今企業(yè)領(lǐng)導者普遍認為，網(wǎng)絡(luò )安全風(fēng)險已成為需認真對待的首要業(yè)務(wù)風(fēng)險，而不再僅僅是有待解決的技術(shù)問(wèn)題。支持和加速業(yè)務(wù)成果，既是網(wǎng)絡(luò )安全工作的核心目標，也是一項重大的挑戰?！?/span>

首席信息安全官必須調整網(wǎng)絡(luò )安全的運營(yíng)模式，通過(guò)綜合方法達成工作目標。員工必須了解如何平衡網(wǎng)絡(luò )安全、財務(wù)、聲譽(yù)、競爭、法律等諸多方面的風(fēng)險。還必須將網(wǎng)絡(luò )安全與業(yè)務(wù)價(jià)值掛鉤，從業(yè)務(wù)成果和重點(diǎn)目標的角度來(lái)衡量和報告項目效果。

趨勢4：威脅暴露面管理

現代企業(yè)面臨的攻擊面十分復雜，導致安全防護人員身心疲憊。首席信息安全官必須改善評估方法，實(shí)施連續威脅暴露面管理（CTEM）計劃來(lái)了解威脅暴露情況。Gartner預測，到2026年，根據CTEM計劃確定安全投資優(yōu)先級的企業(yè)機構將有能力使安全泄露事件減少三分之二。

Addiscott表示：“首席信息安全官必須不斷完善威脅評估方法，才能與企業(yè)機構不斷發(fā)展的工作方法相匹配。CTEM方法不應僅僅用于評估技術(shù)漏洞?！?/span>

趨勢5：身份編織免疫

身份基礎設施的脆弱性來(lái)自于身份編織中的不完整、配置錯誤或脆弱的要素。到2027年，企業(yè)機構將依靠身份編織免疫原則阻止85%的新攻擊，進(jìn)而將安全泄露所造成的財務(wù)影響減少80%。  

Addiscott表示：“身份編織免疫不僅能利用身份威脅檢測和響應（ITDR）來(lái)保護現有和新增的身份與訪(fǎng)問(wèn)管理（IAM）組件，而且還通過(guò)完善和正確配置來(lái)對身份編織進(jìn)行加固?！?/span>

趨勢6：網(wǎng)絡(luò )安全驗證

網(wǎng)絡(luò )安全驗證匯集了多項技術(shù)、流程和工具，旨在對潛在攻擊者利用已知威脅暴露面的方式進(jìn)行驗證。支持網(wǎng)絡(luò )安全驗證的工具已取得重大進(jìn)步，已實(shí)現可重復以及可預測評估環(huán)節的自動(dòng)化，支持對于攻擊技術(shù)、安全控制和流程的常規基準化分析。到2026年，超過(guò)40%的企業(yè)機構（其中三分之二為中型企業(yè)）將依靠整合平臺來(lái)執行網(wǎng)絡(luò )安全驗證評估。

趨勢7：網(wǎng)絡(luò )安全平臺整合

由于企業(yè)機構希望簡(jiǎn)化運營(yíng)，各廠(chǎng)商正在圍繞一個(gè)或多個(gè)主要的網(wǎng)絡(luò )安全領(lǐng)域進(jìn)行平臺整合。例如，通過(guò)一個(gè)集治理、特許訪(fǎng)問(wèn)和訪(fǎng)問(wèn)管理功能于一身的共同平臺提供身份安全服務(wù)。SRM領(lǐng)導者需要持續盤(pán)點(diǎn)安全控制措施，以便了解哪些領(lǐng)域存在功能重疊，并通過(guò)整合平臺減少冗余。

趨勢8：組裝式業(yè)務(wù)需要組裝式安全

為應對不斷加快的業(yè)務(wù)變化步伐，企業(yè)機構必須從擺脫對單體系統的依賴(lài)，轉而向各類(lèi)應用添加模塊化功能。組裝式安全是指將網(wǎng)絡(luò )安全控制措施整合到架構模式中，然后以模塊化方式運用至可組裝技術(shù)中。到2027年，超過(guò)50%的核心業(yè)務(wù)應用將使用組裝式架構，因此需要一種新方法來(lái)保護這些應用的安全。 

Addiscott表示：“組裝式安全專(zhuān)為保護組裝式業(yè)務(wù)而設計。使用組裝式組件創(chuàng )建應用，會(huì )引入以往尚未發(fā)現的依賴(lài)關(guān)系。這給首席信息安全官帶來(lái)重要機遇，可創(chuàng )建基于組件、可重復使用的安全控制對象，在設計時(shí)提前嵌入隱私和安全措施?！?/span>

趨勢9：董事會(huì )擴大網(wǎng)絡(luò )安全監管權限

由于網(wǎng)絡(luò )安全責任的歸屬日益明確，而董事會(huì )成員在治理活動(dòng)中的責任也越來(lái)越大，因此董事會(huì )對網(wǎng)絡(luò )安全更加重視。網(wǎng)絡(luò )安全領(lǐng)導者必須向董事會(huì )提供相關(guān)的報告，證明網(wǎng)絡(luò )安全計劃對企業(yè)機構短期和長(cháng)期目標的影響。

Addiscott表示：“SRM領(lǐng)導者必須鼓勵董事會(huì )積極參與和介入網(wǎng)絡(luò )安全決策，同時(shí)以戰略顧問(wèn)的身份向董事會(huì )提供行動(dòng)建議，包括安全預算和資源的分配等?！?/span>