Gartner發(fā)布2024年網(wǎng)絡(luò)安全重要趨勢

Gartner公司于近日發(fā)布2024年網(wǎng)絡(luò)安全重要趨勢。根據(jù)Gartner公司的研究，推動(dòng)2024年主要網(wǎng)絡(luò)安全趨勢的因素包括生成式人工智能（生成式AI）、持續(xù)威脅暴露、第三方風(fēng)險(xiǎn)、隱私驅(qū)動(dòng)的應(yīng)用和數(shù)據(jù)解耦和網(wǎng)絡(luò)安全技能重塑等。

Gartner研究總監(jiān)陳延全表示：“企業(yè)安全職能在技術(shù)、組織和人員方面面臨顛覆。風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須進(jìn)行完善的準(zhǔn)備工作并采取務(wù)實(shí)的態(tài)度，以應(yīng)對(duì)顛覆，實(shí)施高效的網(wǎng)絡(luò)安全項(xiàng)目。”

為了應(yīng)對(duì)這些因素的綜合影響，2024年風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要在其安全計(jì)劃中采取一系列實(shí)踐方法、技術(shù)功能和結(jié)構(gòu)改革，以此提高企業(yè)機(jī)構(gòu)的韌性和網(wǎng)絡(luò)安全績效。

以下重要趨勢將對(duì)這些領(lǐng)域產(chǎn)生廣泛影響。

趨勢一：持續(xù)威脅暴露面管理項(xiàng)目展現(xiàn)強(qiáng)勁勢頭

Gartner預(yù)測，到2026年，通過持續(xù)威脅暴露面管理項(xiàng)目確定安全投資優(yōu)先級(jí)的企業(yè)機(jī)構(gòu)，其安全漏洞將減少三分之二。

陳延全表示：“近年來，企業(yè)機(jī)構(gòu)的攻擊面急劇擴(kuò)大，給企業(yè)機(jī)構(gòu)帶來了潛在的安全盲點(diǎn)，以及大量需要解決的潛在威脅暴露面。作為應(yīng)對(duì)，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者開展了試點(diǎn)項(xiàng)目，引入相關(guān)流程來確定威脅暴露面的數(shù)量和重要性，并驗(yàn)證持續(xù)威脅暴露面管理（CTEM）項(xiàng)目的效果。”

趨勢二：改善身份與訪問管理實(shí)踐，充分發(fā)揮其在提升網(wǎng)絡(luò)安全成功方面的作用

在身份優(yōu)先的安全方法中，利用身份與訪問管理（IAM）取代網(wǎng)絡(luò)安全及其他傳統(tǒng)的安全控制措施成為了安全工作的重點(diǎn)。采取身份優(yōu)先安全策略的企業(yè)機(jī)構(gòu)，必須加強(qiáng)對(duì)基本的IAM規(guī)范以及IAM系統(tǒng)強(qiáng)化的關(guān)注，以提升韌性。

趨勢三：以韌性為導(dǎo)向、資源效率更高的第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理

隨著第三方遭遇網(wǎng)絡(luò)安全事件變得不可避免，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者不得不將注意力從涉及大量前期投入的盡職調(diào)查轉(zhuǎn)向了以韌性為導(dǎo)向的安全投資。勇于進(jìn)取的安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者已將旨在提升韌性的工作活動(dòng)列為優(yōu)先事項(xiàng)，例如實(shí)施補(bǔ)償性控制措施和加強(qiáng)事件響應(yīng)規(guī)劃等。同時(shí)，他們正在為業(yè)務(wù)合作伙伴提供有針對(duì)性的支持，以幫助其優(yōu)化與第三方的合作，并且影響與安全控制相關(guān)的決策。

趨勢四：隱私驅(qū)動(dòng)的應(yīng)用和數(shù)據(jù)解耦，在碎片化的世界中優(yōu)化運(yùn)營

Gartner預(yù)測，到2025年，10%的全球企業(yè)將擁有一個(gè)以上受特定數(shù)據(jù)主權(quán)戰(zhàn)略約束的業(yè)務(wù)單位，從而使創(chuàng)造相同業(yè)務(wù)價(jià)值的成本增加至少一倍。

陳延全表示：“基于國家主義的隱私以及數(shù)據(jù)保護(hù)和本地化要求不斷增多，加劇了企業(yè)應(yīng)用架構(gòu)和數(shù)據(jù)本地化實(shí)踐的碎片化。數(shù)十年來一直以來單租戶應(yīng)用的跨國企業(yè)，面臨著日益增加的合規(guī)要求和持續(xù)攀升的業(yè)務(wù)中斷風(fēng)險(xiǎn)。作為應(yīng)對(duì)，具有前瞻性的企業(yè)機(jī)構(gòu)正在規(guī)劃和實(shí)施不同層面的應(yīng)用和數(shù)據(jù)解耦戰(zhàn)略。”

趨勢五：GenAI引發(fā)短期疑慮，但同時(shí)也點(diǎn)燃了長期希望

生成式人工智能（GenAI）引入了新的攻擊面。為提供相關(guān)防護(hù)，企業(yè)機(jī)構(gòu)必須對(duì)應(yīng)用和數(shù)據(jù)安全實(shí)踐以及用戶監(jiān)控進(jìn)行變革。到2025年，GenAI的采用將導(dǎo)致企業(yè)機(jī)構(gòu)所需的網(wǎng)絡(luò)安全資源激增，從而使應(yīng)用和數(shù)據(jù)安全支出增加15%以上。

此外，鑒于ChatGPT等大語言模型應(yīng)用的興起只是GenAI顛覆浪潮的開端，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者還需要就該技術(shù)的快速演進(jìn)做好應(yīng)對(duì)準(zhǔn)備。

趨勢六：安全行為和文化項(xiàng)目在降低人為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面的作用受到熱切關(guān)注

客戶和供應(yīng)商已經(jīng)認(rèn)識(shí)到，當(dāng)前只關(guān)注員工網(wǎng)絡(luò)安全意識(shí)提升的普遍做法，對(duì)于減少員工行為導(dǎo)致的安全事件效果甚微。

陳延全表示：“安全行為與文化項(xiàng)目（SBCP）是一種企業(yè)層面的方法，旨在最大程度減少與員工行為相關(guān)的網(wǎng)絡(luò)安全事件，無論這些事件是出于一時(shí)疏忽還是有意為之。SBCP的主要目標(biāo)是改變員工行為。到2027年，50%的?型企業(yè)?席信息安全官（CISO）將采?以?為本的安全設(shè)計(jì)實(shí)踐，以最?限度減少?絡(luò)安全引發(fā)的員工抵觸并提升安全控制的采?率。”

趨勢七：網(wǎng)絡(luò)安全成果驅(qū)動(dòng)型指標(biāo)助力安全領(lǐng)導(dǎo)者有效傳達(dá)網(wǎng)絡(luò)安全價(jià)值

網(wǎng)絡(luò)安全成果驅(qū)動(dòng)型指標(biāo)（ODM）是包含特殊屬性的安全運(yùn)營指標(biāo)，可以幫助利益相關(guān)者在安全投資與其所能實(shí)現(xiàn)的保護(hù)等級(jí)之間建立直接關(guān)聯(lián)。

各行業(yè)企業(yè)機(jī)構(gòu)都在網(wǎng)絡(luò)安全人員、流程和技術(shù)方面進(jìn)行了大量投資，然而網(wǎng)絡(luò)安全事件的發(fā)生頻率和負(fù)面影響卻在持續(xù)攀升。這削弱了董事會(huì)和高管對(duì)于網(wǎng)絡(luò)安全戰(zhàn)略的信心。企業(yè)機(jī)構(gòu)正在尋求一種衡量網(wǎng)絡(luò)安全價(jià)值的方法，既能夠引起高管的共鳴，還可以支持務(wù)實(shí)、符合業(yè)務(wù)需求的投資決策。ODM作為最具前景的候選方案之一，受到了越來越多企業(yè)機(jī)構(gòu)的青睞。

趨勢八：持續(xù)演變的網(wǎng)絡(luò)安全運(yùn)營模式

隨著業(yè)務(wù)線繼續(xù)取代IT職能成為技術(shù)獲取、構(gòu)建和交付的主體，傳統(tǒng)的網(wǎng)絡(luò)安全運(yùn)營模式逐漸被打破。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者正在對(duì)網(wǎng)絡(luò)安全運(yùn)營模式進(jìn)行調(diào)整，以滿足業(yè)務(wù)部門在自主性、創(chuàng)新和敏捷性方面的需求。具體而言，安全工作的決策權(quán)日益分散化；安全策略的細(xì)節(jié)逐漸交由邊緣側(cè)的業(yè)務(wù)決策者負(fù)責(zé)；針對(duì)部分治理工作建立了集中和正式的治理機(jī)制，以更好地支持業(yè)務(wù)部門的風(fēng)險(xiǎn)負(fù)責(zé)人；安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者的角色也正從控制措施管理者在向價(jià)值推動(dòng)者演變。

趨勢九：重塑網(wǎng)絡(luò)安全技能，助力企業(yè)機(jī)構(gòu)應(yīng)對(duì)未來風(fēng)險(xiǎn)

到2026年，50%的大型企業(yè)將使用敏捷學(xué)習(xí)作為主要的技能提升/重塑方法。

陳延全表示：“安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者面臨著一系列重大趨勢，而這些趨勢都對(duì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的技能需求產(chǎn)生了影響。并且，新技能需求的增長速度將會(huì)超過新角色、新資格認(rèn)證、新職位描述和新職位名稱的創(chuàng)建速度。換言之，依靠學(xué)習(xí)型和發(fā)展型解決方案、招聘平臺(tái)以及人力資源實(shí)踐，將無法及時(shí)滿足網(wǎng)絡(luò)安全的技能需求。”

?絡(luò)安全團(tuán)隊(duì)需要圍繞敏捷學(xué)習(xí)改善學(xué)習(xí)和發(fā)展計(jì)劃，并基于敏捷學(xué)習(xí)通過迭代和短期突擊來優(yōu)先發(fā)展實(shí)踐技能。