4月12日,Gartner发布了2023年9大主要网络安全趋势,重新关注人为因素。Gartner提出提出安全和风险管理(SRM)领导者在设计和实施网络安全计划时,必须重新考虑他们在技术、架构和以人为本要素之间的投资平衡。
Gartner 高级总监兼分析师Richard Addiscott表示:“以人为本的网络安全方法对于减少安全事故至关重要。关注安全控制手段设计和实施人员,以及通过业务通信和网络安全人才管理,将有助于改善业务风险决策和网络安全员工的稳定。”
为解决网络安全风险并维持有效的网络安全计划,SRM 领导者必须关注三个关键领域:
(1)人员对于安全计划的成功和可持续性的重要作用;
(2)技术安全能力,在整个组织的数字生态系统中提供更大的可见性和响应能力;
(3)重组安全功能的运作方式,以在不损害安全性的情况下实现敏捷性。
核心建议
Gartner在报告首页为SRM领导者提出三点建议:
1)采用攻击者的思维方式,通过对攻击面采取端到端的排查来确定网络风险缓解工作的优先级,并在适当情况下调整供应商产品组合。
2)通过采用新的安全运营模型和架构方法,优化网络安全能力与新的分布式工作方式的一致性,以提高敏捷性并在设计时嵌入安全。
3)优先考虑并优化对员工行为改进的投资,以增强和维持企业安全的有效性。
Gartner将9大安全趋势分为响应性生态系统、重组途径以及再平衡措施三类,通过这些趋势的组合形成可持续的平衡性的网络安全计划。
重点解读
1.安全验证首次作为安全趋势出现
“到2026年,超过40%的组织(包括三分之二的中型企业)将依靠整合平台来运行安全验证评估。”
对比近几年Gartner网络安全趋势,安全验证在2023年的报告中首次出现。
2021年Gartner在安全趋势中提出入侵和攻击模拟(BAS),在本次报告中,Gartner将BAS作为一项验证工具囊括在安全验证这一整体趋势下。这与国内新兴安全验证厂商塞讯验证的理念不谋而合,塞讯验证自2021年就在国内率先提出安全验证理念,前瞻性地将BAS技术进行扩展,向安全验证演进。
Gartner定义安全验证:
安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何利用已识别的威胁暴露,以及安全防御体系和流程的实际应对情况。蓝队和红队工具正朝着高度定制和灵活入侵的方向融合,以更有效地测试企业的防御能力,包括安全控制手段和监控工具的有效性和配置。由此产生的验证结果能够让跨团队决策更轻松,也帮助组织决策者分配相关资源。
安全验证为什么成为最新趋势?
即使是领导一个有明确安全计划的安全团队,也必须优先处理一长串问题。成熟的组织仍然无法找到一个有效的跨团队协作方法来补救突出问题。安全验证则可以评估攻击者成功的可能性,评估潜在的影响,并确定目标响应流程是否按照预期运行。
安全验证工具正在迅速发展,实现评估的高度可重复和可预测方面的自动化,从而实现攻击技术、安全控制手段和流程的一致性,确立常规标准。
2.持续威胁暴露管理(CTEM)代替传统网络安全评估
“到2026年,基于CTEM计划优先进行安全投资的组织将减少三分之二的违规行为。”
现代企业的攻击面复杂而分散,传统的网络安全评估往往聚焦于发现和修复漏洞,对人为错误、供应链依赖性(SaaS平台和第三方应用程序)以及安全措施的错误配置这类风险暴露却束手无策。
CTEM作为一项务实有效的系统方法,可以不断完善网络安全优化优先级。CTEM将传统的网络安全评估扩展到以下几方面:
1)使CTEM迭代的范围与特定的业务风险和优先级保持一致。
2)解决所有漏洞,无论是否存在补丁。这包括传统的、可修补的漏洞,但也包括与这些业务风险和优先级相关的更现代的、不可修补的威胁暴露。
3)通过攻击者的视角进行权衡来验证企业暴露和补救优先级。
4)将预期结果从战术和技术响应转变为基于证据的安全优化,并得到改进的跨团队支持。
Gartner将CTEM与安全验证都划分在响应性生态系统这一类别中,即认为趋势之间有着一定的共性,共同作用于对威胁的敏捷响应。因此可以看到,CTEM也包含了通过攻击者视角来验证企业威胁暴露和补救的优先级这一举措,与安全验证的理念如出一辙。
3.新的趋势对CISO提出了新的要求
“CISO必须审查过去的网络安全事件、安全控制手段的违规配置和例外的请求,以确定网络安全引发的摩擦的主要源头,并确定在哪里可以通过更以人为中心的防御手段的重新设计来减轻员工的负担,或者取消那些增加摩擦并对显著降低风险的安全控制措施。”
“CISO必须修改其网络安全的运营模式,以整合工作的完成方式。”
“为了满足领导层的期望,网络安全运营模式必须转型以支持和加速业务成果,并且不给业务和IT带来不必要的网络安全风险或摩擦”。
SRM领导者必须鼓励董事会积极参与网络安全决策,担任战略顾问,为董事会采取的行动提供建议,包括安全预算和资源的分配。
Gartner的报告中多次用到了“CISO必须……”之类强调性的语句,无论是出于“以人为中心的安全设计”,还是从“转变网络安全运营模式以支持价值创造”这一趋势出发,亦或是出于董事会对网络安全的日益关注,必须承认,组织期望CISO在组织的价值创造中承担更艰巨的任务,甚至已经为CISO设定了一个成功的标准。
这些“必须”既是组织对CISO的期望,也是塞讯验证的使命所在。塞讯安全度量验证平台为CISO提供决策所需的数据支撑,提供管理层视角的可视量化数据,帮助CISO定位安全防御措施的不足之处,优化预算和资源配置。
Gartner年度安全趋势作为行业风向标,对安全行业有着重要的指引意义。报告中所提出的多项趋势,以及Gartner所强调的“攻击者视角”、“安全计划的可持续性和平衡性”“技术安全能力提供的可见性和响应能力”等关键词,都与塞讯验证的理念高度一致。塞讯验证凭借其前瞻性的视角和业内突出的技术水平,已经为各行业多家头部企业提供了安全验证解决方案,帮助企业安全建设提质增效。
(扫码阅读完整版报告)
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!