4月12日,Gartner發布了2023年9大主要網絡安全趨勢,重新關注人為因素。Gartner提出提出安全和風險管理(SRM)領導者在設計和實施網絡安全計劃時,必須重新考慮他們在技術、架構和以人為本要素之間的投資平衡。
Gartner 高級總監兼分析師Richard Addiscott表示:“以人為本的網絡安全方法對于減少安全事故至關重要。關注安全控制手段設計和實施人員,以及通過業務通信和網絡安全人才管理,將有助于改善業務風險決策和網絡安全員工的穩定。”
為解決網絡安全風險并維持有效的網絡安全計劃,SRM 領導者必須關注三個關鍵領域:
(1)人員對于安全計劃的成功和可持續性的重要作用;
(2)技術安全能力,在整個組織的數字生態系統中提供更大的可見性和響應能力;
(3)重組安全功能的運作方式,以在不損害安全性的情況下實現敏捷性。
核心建議
Gartner在報告首頁為SRM領導者提出三點建議:
1)采用攻擊者的思維方式,通過對攻擊面采取端到端的排查來確定網絡風險緩解工作的優先級,并在適當情況下調整供應商產品組合。
2)通過采用新的安全運營模型和架構方法,優化網絡安全能力與新的分布式工作方式的一致性,以提高敏捷性并在設計時嵌入安全。
3)優先考慮并優化對員工行為改進的投資,以增強和維持企業安全的有效性。
Gartner將9大安全趨勢分為響應性生態系統、重組途徑以及再平衡措施三類,通過這些趨勢的組合形成可持續的平衡性的網絡安全計劃。
重點解讀
1.安全驗證首次作為安全趨勢出現
“到2026年,超過40%的組織(包括三分之二的中型企業)將依靠整合平臺來運行安全驗證評估。”
對比近幾年Gartner網絡安全趨勢,安全驗證在2023年的報告中首次出現。
2021年Gartner在安全趨勢中提出入侵和攻擊模擬(BAS),在本次報告中,Gartner將BAS作為一項驗證工具囊括在安全驗證這一整體趨勢下。這與國內新興安全驗證廠商塞訊驗證的理念不謀而合,塞訊驗證自2021年就在國內率先提出安全驗證理念,前瞻性地將BAS技術進行擴展,向安全驗證演進。
Gartner定義安全驗證:
安全驗證是技術、流程和工具的融合,用于驗證潛在攻擊者如何利用已識別的威脅暴露,以及安全防御體系和流程的實際應對情況。藍隊和紅隊工具正朝著高度定制和靈活入侵的方向融合,以更有效地測試企業的防御能力,包括安全控制手段和監控工具的有效性和配置。由此產生的驗證結果能夠讓跨團隊決策更輕松,也幫助組織決策者分配相關資源。
安全驗證為什么成為最新趨勢?
即使是領導一個有明確安全計劃的安全團隊,也必須優先處理一長串問題。成熟的組織仍然無法找到一個有效的跨團隊協作方法來補救突出問題。安全驗證則可以評估攻擊者成功的可能性,評估潛在的影響,并確定目標響應流程是否按照預期運行。
安全驗證工具正在迅速發展,實現評估的高度可重復和可預測方面的自動化,從而實現攻擊技術、安全控制手段和流程的一致性,確立常規標準。
2.持續威脅暴露管理(CTEM)代替傳統網絡安全評估
“到2026年,基于CTEM計劃優先進行安全投資的組織將減少三分之二的違規行為。”
現代企業的攻擊面復雜而分散,傳統的網絡安全評估往往聚焦于發現和修復漏洞,對人為錯誤、供應鏈依賴性(SaaS平臺和第三方應用程序)以及安全措施的錯誤配置這類風險暴露卻束手無策。
CTEM作為一項務實有效的系統方法,可以不斷完善網絡安全優化優先級。CTEM將傳統的網絡安全評估擴展到以下幾方面:
1)使CTEM迭代的范圍與特定的業務風險和優先級保持一致。
2)解決所有漏洞,無論是否存在補丁。這包括傳統的、可修補的漏洞,但也包括與這些業務風險和優先級相關的更現代的、不可修補的威脅暴露。
3)通過攻擊者的視角進行權衡來驗證企業暴露和補救優先級。
4)將預期結果從戰術和技術響應轉變為基于證據的安全優化,并得到改進的跨團隊支持。
Gartner將CTEM與安全驗證都劃分在響應性生態系統這一類別中,即認為趨勢之間有著一定的共性,共同作用于對威脅的敏捷響應。因此可以看到,CTEM也包含了通過攻擊者視角來驗證企業威脅暴露和補救的優先級這一舉措,與安全驗證的理念如出一轍。
3.新的趨勢對CISO提出了新的要求
“CISO必須審查過去的網絡安全事件、安全控制手段的違規配置和例外的請求,以確定網絡安全引發的摩擦的主要源頭,并確定在哪里可以通過更以人為中心的防御手段的重新設計來減輕員工的負擔,或者取消那些增加摩擦并對顯著降低風險的安全控制措施。”
“CISO必須修改其網絡安全的運營模式,以整合工作的完成方式。”
“為了滿足領導層的期望,網絡安全運營模式必須轉型以支持和加速業務成果,并且不給業務和IT帶來不必要的網絡安全風險或摩擦”。
SRM領導者必須鼓勵董事會積極參與網絡安全決策,擔任戰略顧問,為董事會采取的行動提供建議,包括安全預算和資源的分配。
Gartner的報告中多次用到了“CISO必須……”之類強調性的語句,無論是出于“以人為中心的安全設計”,還是從“轉變網絡安全運營模式以支持價值創造”這一趨勢出發,亦或是出于董事會對網絡安全的日益關注,必須承認,組織期望CISO在組織的價值創造中承擔更艱巨的任務,甚至已經為CISO設定了一個成功的標準。
這些“必須”既是組織對CISO的期望,也是塞訊驗證的使命所在。塞訊安全度量驗證平臺為CISO提供決策所需的數據支撐,提供管理層視角的可視量化數據,幫助CISO定位安全防御措施的不足之處,優化預算和資源配置。
Gartner年度安全趨勢作為行業風向標,對安全行業有著重要的指引意義。報告中所提出的多項趨勢,以及Gartner所強調的“攻擊者視角”、“安全計劃的可持續性和平衡性”“技術安全能力提供的可見性和響應能力”等關鍵詞,都與塞訊驗證的理念高度一致。塞訊驗證憑借其前瞻性的視角和業內突出的技術水平,已經為各行業多家頭部企業提供了安全驗證解決方案,幫助企業安全建設提質增效。
