信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

上周Gartner在“2024年網(wǎng)絡(luò)安全六大趨勢”報告中指出，新的一年中改變企業(yè)網(wǎng)絡(luò)安全市場的六大驅(qū)動力和趨勢分別是：

●生成式人工智能(GenAI)

●不安全的員工行為

●第三方風(fēng)險

●持續(xù)的威脅暴露

●董事會溝通差距

●身份優(yōu)先的安全方法

Gartner的預(yù)測，2024年將是企業(yè)高度重視安全文化建設(shè)的一年，同時也將誕生首個生成式人工智能驅(qū)動的安全產(chǎn)品，到2025年，這些工具將帶來真正的風(fēng)險管理成果。

近日，Gartner高級研究總監(jiān)分析師Richard Addiscott對“六大趨勢”進(jìn)行了深入解讀，具體如下：

趨勢一：CISO對生成式人工智能既愛又怕

Addiscott指出，在不久的將來，生成式人工智能可以幫助安全部門提高防御能力，包括漏洞管理、威脅情報和響應(yīng)等領(lǐng)域。

“生成式人工智能還可以幫助安全團(tuán)隊(duì)提高運(yùn)營效率，這在當(dāng)前全球網(wǎng)絡(luò)安全人才短缺的情況下，是關(guān)鍵的業(yè)務(wù)驅(qū)動因素，”他說。

然而，生成式人工智能的“副作用”也不容忽視。到目前為止的一些案例顯示，部分使用生成式人工智能的員工更容易出現(xiàn)提示疲勞，而不是生產(chǎn)力增長。不過，企業(yè)仍應(yīng)鼓勵內(nèi)部和外部的安全部門進(jìn)行試驗(yàn)并管理期望。

Addiscott表示，盡管許多企業(yè)最初持懷疑態(tài)度，但對人工智能技術(shù)仍抱有"堅(jiān)定的長期希望"。

趨勢二：安全行為和安全文化在企業(yè)落地生根

安全文化對所有網(wǎng)絡(luò)安全項(xiàng)目都至關(guān)重要。根據(jù)Gartner的說法，越來越多的CISO開始接受這一理念，并采用安全行為和文化計劃(SBCP)。

Gartner預(yù)測，到2027年，50%的大型企業(yè)首席信息安全官將采用以人為中心的安全性實(shí)踐。

Addiscott解釋說，"SBCP代表了一種更全面、更綜合的方法，其目的是培養(yǎng)和嵌入更安全的行為和工作實(shí)踐，貫穿整個組織。"

這種策略采取了更加全面的視角，涵蓋所有企業(yè)角色和職能，而不僅僅關(guān)注最終用戶員工的行為。

為了支持企業(yè)向這一模式轉(zhuǎn)變，Gartner開發(fā)了PIPE（實(shí)踐、影響、平臺、推動因素）框架，指導(dǎo)安全意識項(xiàng)目中并不常用的實(shí)踐，例如組織變革管理、以人為本的設(shè)計實(shí)踐、營銷和公共關(guān)系以及安全輔導(dǎo)。

PIPE還鼓勵企業(yè)將員工人口統(tǒng)計、企業(yè)預(yù)算、高管風(fēng)險文化以及數(shù)字和網(wǎng)絡(luò)素養(yǎng)納入其網(wǎng)絡(luò)安全計劃中。此外，還可以通過整合來自各種安全工具的員工使用數(shù)據(jù)來個性化這些計劃（生成式人工智能也可以在此發(fā)揮作用）。

Addiscott指出，SBCP允許組織深入挖掘數(shù)據(jù)，以確定哪些員工行為導(dǎo)致了某些安全事件。例如，他們是否泄露了憑證、點(diǎn)擊了不安全鏈接或?yàn)E用了電子郵件。然后，他們可以采取更平衡的方法向前發(fā)展。

他表示，高層的支持是至關(guān)重要的，同時還需要有一個員工可以理解的"良好安全態(tài)勢"的愿景。領(lǐng)導(dǎo)者應(yīng)該意識到安全文化學(xué)習(xí)沒有"一刀切"的方法，并且還應(yīng)該定期評估項(xiàng)目效果。

Addiscott承認(rèn)，"SBCP比傳統(tǒng)的安全意識培訓(xùn)計劃要大得多，而且并非所有企業(yè)都具備擴(kuò)展到超出當(dāng)前能力范圍的能力、成熟度或能力，可以循序漸進(jìn)，量力而行。"

趨勢三：用好的安全指標(biāo)彌合董事會溝通差距

Gartner強(qiáng)調(diào)，隨著全球監(jiān)管機(jī)構(gòu)尋求加強(qiáng)網(wǎng)絡(luò)安全方面的規(guī)則，2024年董事會必須更加熟悉組織風(fēng)險。然而，Addiscott指出，董事會通常缺乏"深入的網(wǎng)絡(luò)安全專業(yè)知識"。

他指出，以技術(shù)為中心、以運(yùn)營為導(dǎo)向、以及過去導(dǎo)向/滯后的網(wǎng)絡(luò)安全績效指標(biāo)對企業(yè)高管來說毫無意義，無法幫助他們真正理解公司面臨的風(fēng)險以及如何應(yīng)對風(fēng)險。

這催生了成果驅(qū)動型指標(biāo)(ODM)，它本質(zhì)上是將網(wǎng)絡(luò)安全投資和它們提供的保護(hù)之間直接關(guān)聯(lián)。安全領(lǐng)導(dǎo)者可以用"可視化"方式展示其安全項(xiàng)目的績效，并根據(jù)企業(yè)的風(fēng)險偏好展示所取得的成果。

Gartner表示，"ODM是制定可辯護(hù)的網(wǎng)絡(luò)安全投資策略的核心，它反映了具有強(qiáng)大性能的商定保護(hù)級別，并用非IT高管可以理解的

趨勢四：第三方風(fēng)險管理至關(guān)重要

軟件供應(yīng)鏈正遭受持續(xù)攻擊，第三方發(fā)生網(wǎng)絡(luò)安全事件只是時間問題。

Addiscott指出，CISO應(yīng)該更加關(guān)注"以彈性為導(dǎo)向的投資"，而不是"前期盡職調(diào)查"。

他建議加強(qiáng)對網(wǎng)絡(luò)安全風(fēng)險較高的第三方參與的應(yīng)急計劃。此外，還要創(chuàng)建針對第三方的事件手冊、進(jìn)行桌面演練并定義明確的“下車”策略（例如及時撤銷訪問和銷毀數(shù)據(jù)）。

Addiscott表示，"為企業(yè)數(shù)字化能力建立強(qiáng)大而有彈性的供應(yīng)鏈對于更廣泛的組織彈性至關(guān)重要"。

趨勢五：面向未來的網(wǎng)絡(luò)安全技能再培訓(xùn)

毫無疑問，網(wǎng)絡(luò)安全人才荒并未結(jié)束。Gartner報告稱，僅在美國，合格的網(wǎng)絡(luò)安全專業(yè)人員就只夠滿足當(dāng)前需求的70%。

云遷移、生成式人工智能應(yīng)用、運(yùn)營模式轉(zhuǎn)型、不斷擴(kuò)大的威脅環(huán)境和供應(yīng)商整合只會加劇人才短缺趨勢，同時還在不斷產(chǎn)生大量新安全技能需求。

因此，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要摒棄傳統(tǒng)的人才招聘篩選規(guī)則，例如要求應(yīng)聘者具備"n"年經(jīng)驗(yàn)或特定技能（因?yàn)檫@些技能可以學(xué)習(xí)）。他們應(yīng)該著眼于招聘"相關(guān)技能"、"軟技能"（例如商業(yè)敏銳度、口頭溝通和同理心）以及全新網(wǎng)絡(luò)安全角色需要的“新技能”。

Gartner建議企業(yè)制定網(wǎng)絡(luò)安全勞動力計劃，記錄所需技能并展示角色將如何演變。他們還應(yīng)該培育學(xué)習(xí)文化，通過"迭代、短時間的爆發(fā)"而不是"瀑布式"的培訓(xùn)來納入實(shí)踐技能開發(fā)。

值得注意的是，Gartner強(qiáng)調(diào)"要為未來招聘，而不是為過去招聘"。職位描述應(yīng)該刪除"大牛"要求，即那些幾乎沒有應(yīng)聘者可以達(dá)到的“理想人才標(biāo)準(zhǔn)”。

趨勢六：IAM和持續(xù)威脅暴露管理(CTEM)勢頭強(qiáng)勁

近年來，隨著SaaS應(yīng)用加速、數(shù)字供應(yīng)鏈擴(kuò)展、遠(yuǎn)程工作和其他因素的推動，攻擊面急劇擴(kuò)大，導(dǎo)致企業(yè)留下了許多盲點(diǎn)。他們的可見性有限，并且他們的技術(shù)往往是孤立的。

Gartner表示，為了解決這一問題，許多企業(yè)正在采用持續(xù)威脅暴露管理(CTEM)。CTEM幫助安全團(tuán)隊(duì)持續(xù)評估和管理暴露，而不是試圖找到并修補(bǔ)每個漏洞。這使他們能夠根據(jù)企業(yè)的具體威脅環(huán)境進(jìn)行修復(fù)。

Gartner預(yù)測，到2026年，優(yōu)先考慮CTEM的企業(yè)的違規(guī)事件將減少三分之二。

與此同時，身份訪問管理(IAM)變得越來越重要。Gartner建議企業(yè)"加倍努力實(shí)施適當(dāng)?shù)纳矸菪l(wèi)生措施"。他們還應(yīng)該擴(kuò)展身份威脅檢測和響應(yīng)(IDTR)，實(shí)施安全態(tài)勢評估，并通過"向身份架構(gòu)演變"來"重構(gòu)"身份基礎(chǔ)設(shè)施。

總結(jié)：給CISO的六大建議

后疫情時代，網(wǎng)絡(luò)安全將面臨新的挑戰(zhàn)和機(jī)遇。生成式人工智能、安全行為和文化、第三方風(fēng)險管理、網(wǎng)絡(luò)安全技能再培訓(xùn)、身份管理以及持續(xù)威脅暴露管理(CTEM)的興起，都將對網(wǎng)絡(luò)安全格局產(chǎn)生重大影響。

針對以上趨勢，Gartner建議CISO在新的一年：

●積極探索生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用潛力。

●培育以人為本的安全文化，并通過安全行為和文化計劃(SBCP)提升員工的安全意識。

●加強(qiáng)對第三方風(fēng)險的管理，建立強(qiáng)大的供應(yīng)鏈安全體系。

●通過再培訓(xùn)和技能提升，打造一支適應(yīng)未來需求的網(wǎng)絡(luò)安全人才隊(duì)伍。

●不斷完善身份管理體系，以應(yīng)對日益復(fù)雜的威脅環(huán)境。

●積極采用持續(xù)威脅暴露管理(CTEM)策略，提升組織的整體安全防護(hù)能力。