摘要:
2023年3月17日- ID G00782545写在前面:在这篇文章中,除了说明几个技术方向,Gartner关注了网络安全中“人”的角色。网络安全问题的解决... 2023年3月17日- ID G00782545
写在前面:在这篇文章中,除了说明几个技术方向,Gartner关注了网络安全中“人”的角色。
网络安全问题的解决,逐渐从技术向人倾斜。这点有些像目前正在推动的安全运营,强调最后还是要人参与来解决问题。
既然人在网络安全中越来越重要,那就要加强人才留存,打造好的企业文化,关心人才成长,不管是技术管理者还是技术操作者。
安全策略的设计要考虑到人,不要过于生硬和僵化,而且,负责安全的CISO,也要学会用业务的语言和董事会沟通。
以前刚做安全的时候,总是觉得安全无法融入业务,一直在业务的边缘,但随着很多行业的数字化转型,IT本身就变成了业务,网络安全也算是和业务真正的融合起来,董事会成员也需要了解网络安全了。
不管从哪个角度,对网络安全的从业者,也算是一个好消息吧。但也意味着自身还是要不断学习,跟上技术和管理的步伐。网络安全从业者,也要更深的了解业务,学会从风险的角度考虑问题,向高层汇报。
概述
在今年的网络安全主要趋势中,继续提高对人自身这个因素的关注。安全和风险管理的领导者在设计和实施他们的网络安全计划时,必须重新考虑他们在技术、结构和以人为本这几个要素之间的投资平衡。
机会
建议
安全与风险管理领导者应该:
战略规划假设
报告内容
今年的Gartner网络安全主要趋势报告显示,在应对网络安全风险并维持有效的网络安全职能时,人们越来越认识到员工参与安全计划的重要性。日益分散的工作扩大了云的采用。反过来,这增加了对不断扩大的数字生态系统的端到端可见性和弹性供应链的依赖。此外,首席信息官正在改变他们的IT运营模式,以促进增强的业务敏捷性。监管环境不断变化,迫使董事会在管理网络安全风险方面发挥更积极的作用。虽然勒索软件支付正在下降,大规模勒索软件攻击和对身份系统的攻击仍在持续。在这些全球趋势下,领先的安全和风险管理领导者正在聚焦于下列措施:
关注人员对安全项目成功和可持续性的重要作用。
实施技术上的安全能力,在内部数字生态系统中,提供更大的可见性和响应能力。
重新构建安全功能的运营方式,在不降低安全的情况下实现敏捷性。
重新取得平衡:
网络安全控制的三个传统重点领域,人员、流程和技术之间历史上的不平衡终于得到了关注。长期以来,技术一直是安全领导者的主要关注点,然而证据表明,仅仅押宝在技术上,限制了网络安全风险降低工作的有效性。越来越多的人认识到,人对安全和风险结果以及程序可持续性的影响比以前认识到的要大得多。由于监管变化,董事会对网络安全的重视持续增长。安全领导者要求相关沟通要以受众为中心。以人为中心现在是有效的网络安全计划的重要基础。
响应式生态系统:
Gartner在《2022年网络安全主要趋势》中强调的不断扩大的针对身份系统的攻击面和威胁将持续到2023年。这些持续的网络安全风险给想要保持安全计划与业务同步的领导者带来了挑战。有必要将威胁评估的范围扩大到组织直接控制的环境之外,以包括日益关键和深度集成的供应链。因此,解决组织数字生态系统中发现的每一个威胁已不再可行。将持续的方法应用于威胁管理和网络安全验证,有助于推动以风险为中心的修复工作。这种方法增强了脆弱的身份系统的可观察性,当与自动修复元素相结合时,可以提高检测和响应能力,并建立更多的数字化免疫身份生态系统。这有助于改进组织的准备,增强以风险优先级为准的修复工作。
重组:
分布式技术工作(例如,业务技术人员)的增加,混合工作模型成为常态,加速的数字化转型正在响应不断变化的市场条件,促使组织转换其安全职能。领导者正在采取战略方法来整合厂商组合,以简化运营,并使网络安全主要领域的厂商合理化,因为他们的组织面临着越来越多同时来自经济和威胁环境的挑战。通过与其他平台和点解决方案进行更开放的集成来支持域内的安全平台整合,从而实现模块化的网络安全架构,以覆盖其不断扩大的攻击面。
网络安全和风险领导者寻求设计和实施可持续的网络安全计划,提供一个人员、流程和技术之间的有效平衡。所有2023年的趋势应该整体考虑,而不是作为一组完全不同的现象,分别处理。(见下图)
威胁暴露管理
作者:Jeremy D'Hoinne, Pete Shoard, Mitchell Schneider, Jonathan Nunez
概述:到2026年,组织将根据持续威胁暴露管理计划来对他们的安全投资优先级排序,将减少三分之二入侵。
描述:
现代企业的攻击面是复杂和碎片化的,这是不断发展的IT工作实践(例如使用SaaS)的结果。由于修复优先级清单不断增加和互相冲突,这造成了诊断疲劳。企业CISO意识到有必要改善他们的评估实践,以更好地了解他们面临的威胁,并解决他们在评估方面的差距。持续威胁暴露管理(continuous threat exposure management,CTEM)程序正在兴起。这是一种务实有效的系统方法,持续细化网络安全的优先事项。持续威胁暴露管理将传统的网络安全评估扩展到:
趋势原因:
零日漏洞很少是入侵的主要原因。换句话说,如果组织在攻击者利用威胁之前修复其暴露,则可以防止入侵。然而,修复每个已知的漏洞在操作上是不可行的。
为了解决这个复杂的问题,CISO必须不断尝试发展他们的评估实践,以跟上组织的数字化速度和不断发展的工作实践。最近的攻击趋势强调需要评估合适的风险补偿方法,而不是通过打补丁来修补传统的漏洞,以适当减少企业威胁暴露。在试图减少企业面临威胁时,CISO必须不能仅仅评估技术漏洞。安全团队还必须考虑不可修复元素的风险暴露,例如人为错误、供应链依赖关系(SaaS平台和第三方应用程序)和/或安全控制的错误配置。这些因素促使人们越来越多地采用发现工具和流程,试图动态地、持续量化他们资产的分布。
然而,评估工具的普遍使用放大了问题,而不是解决了问题,目前的挑战是对最相关的修复行动进行优先级排序。
为了解决这些挑战,安全领导者必须以不同的方式处理问题,通过改变他们如何定义暴露评估,以及他们处理修复,强调适当补偿和部门间团队互动的重要性。网络安全领导者别无选择,只能改变他们定义暴露评估的方式,和动员所需的“修复”。
含义:
尽管许多企业都有某种漏洞管理程序,但它通常以技术为中心,并且在动员资源的能力方面受到限制,仅仅是简单的报告、优先级排序和半自动修复。建立一个持续威胁暴露管理程序应始于:
持续威胁暴露管理程序的结果将包括不同类型的“处理”,例如技术缓解,但是“修复”意味着建议的行动过程也必须通过标准流程,保证风险可接受,以及操作可行性。这一要求是全自动平台不太可能成为救世主的主要原因。
行动:
身份矩阵(identity fabric)免疫
作者:Henrique Teixeira, Michael Kelley, Erik Wahlstrom
概述:到2027年,身份矩阵免疫原理将阻止85%的新攻击,将入侵行为的财务影响降低80%。
描述:
在2022年,Gartner介绍了身份威胁检测和响应(identity threat detection and response,ITDR)的重要性,当保护身份结构免受现代网络攻击时,填补基础设施安全和身份访问管理(IAM)控制方面的空白。在攻击之前,ITDR假设(并在最好的情况下)采取了阻止措施。
然而,大多数组织中的身份基础设施太脆弱,无法抵御针对性攻击。在过去的12个月里,超过80%的组织都遭遇过身份信息泄露。脆弱性在很大程度上与身份结构中不完整、配置错误或脆弱的元素有关。正因为如此,大多数身份系统都不支持零信任或身份优先安全方法。
身份矩阵免疫将数字免疫系统的概念应用于身份系统。它不仅使用身份威胁检测和响应保护结构中现有的和新的身份访问管理(IAM)组件,而且还通过完成和正确配置来加强它。
数字免疫概念有助于在两个方面实现这种协调和更平衡的保护:
在身份结构中增加数字免疫特性的主要目标是尽量减少缺陷和故障,同时平衡在阻止及检测和响应方面的投资,攻击前和攻击期间提供保护。
趋势原因:
向身份优先安全的转变推动了对IAM基础设施的大量投资。然而,存在着一种不平衡。大多数组织都没有准备好身份系统来完成这样一个关键的功能:
含义:
如果组织同心协力,将建立更具弹性的身份访问管理(IAM)系统:
如果不采取措施保护身份矩阵,身份优先的安全举措将会失败,因为它需要一致性、背景和连续性应用于身份。同样,不可靠且脆弱的身份基础设施无法保障零信任方案取得成功。
行动:
组织必须采取一种内聚的、平衡的方法来强化他们的身份访问管理(IAM)基础设施,同时使它不那么脆弱,更有弹性。例如:
网络安全验证
作者:Jeremy D'Hoinne, Mitchell Schneider, Jonathan Nunez,Pete Shoard
概述:到2026年,超过40%的组织,包括三分之二的中型企业将会依靠统一的平台运行网络安全验证评估。
描述:
网络安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已发现的威胁暴露,以及防御系统和流程如何做出反应。蓝队和红队工具正在向高度定制化和灵活入侵的方向融合,以更有效地测试企业的防御—包括安全控制和监控工具的有效性和配置-更加有效。由此产生的洞察力使跨团队决策更容易,包括动员决策者分配相关的资源。
趋势原因:
即使安全团队领导了一个清晰规划的安全项目,他们仍然需要处理一长串的优先级处理。成熟的组织在触发所需的跨团队协作方法来纠正突出问题方面继续失败。网络安全验证评估攻击者成功的可能性,评估潜在的影响,并确定计划的响应是否如预期的那样工作。网络安全验证评估通常是限于合规驱动的、不频繁的和人为发起的渗透测试。
网络安全验证工具正在快速发展,自动化执行高度可重复和可预测的评估,实现一致和定期的基准攻击技术、安全控制和流程。网络安全验证的范围包括:
网络安全验证平台可以嵌入或集成到下面提到的功能之一,以收集更多的看法,识别易受攻击的路径或提供整体风险态势的额外客观性:
然后,该过程的结果应该促进跨团队动员。为了支持这一点,聚合的网络安全验证工具为各种攻击场景输出可行性评分和/或攻击路径,基于可行性和潜在的影响,加权打分。
含义:
随着越来越多的工具可用,组织需要逐步扩展其网络安全验证实践。他们应该从较小的范围开始,以衡量所增加的验证实践,在修复和优化方面,提高了多少调动资源的能力。
行动:
网络安全平台整合(Cybersecurity Platform Consolidation)
作者:John Watts, Katell Thielemann, Henrique Teixeira, Frank Marsala
描述:
组织希望减少复杂性,简化操作,提高员工效率。厂商正在围绕一个或多个主要网络安全领域整合成平台,如身份和访问管理、网络安全、云安全、数据安全、工作空间安全、网络物理系统和安全运营。许多厂商正在将他们的产品转变为服务模式,而不是打包产品,这会导致更多的单一来源的基础设施服务。通过减少厂商数量,组织可以从提高员工效率、集成和更少产品的更多功能中获益。然而,随着组织减少厂商,就会出现集中风险、更高的定价和运营影响。它并没有消除整合厂商之间的集成需求。组织越来越关注安全厂商作为关键基础设施服务厂商的网络弹性,例如作为身份和网络安全。
趋势原因:
这种趋势是由需求和供给共同驱动的。组织希望降低复杂性,在2023年,厂商和他们的客户都面临潜在的“三重挤压”:经济压力、稀缺昂贵的人才和供应链挑战。
在需求侧,Gartner观察到组织的兴趣,想要在有意义的地方组合功能组件,但通过与其他领域集成来支持模块化安全。例如,安全服务边缘结合了以前用于SWG(安全web网关)和CASB(云访问安全代理)的分散解决方案。现在,一些身份服务在一个公共平台中结合了治理、特权访问和访问管理特性。网络物理系统(CPS)保护平台现在包括资产发现、资产目录、拓扑映射、漏洞管理和网络分段功能。
在供给侧,在过去几年中,资金的可用性和安全市场的增长导致了安全厂商前所未有的激增。目前市场上有数千家安全厂商,但2022年资金减少,并购交易增加。小型初创企业正面临越来越大的压力,对增长的需求被削减成本、产生现金流和最大化利润的需求所取代,它们不得不裁员。
随着公开募股的放缓和私募股权公司继续收购厂商进行重组,小型公司被收购并加入大型产品组合厂商的趋势正在增加。此外,更大的厂商正在通过向他们后端和前端服务添加功能来完善平台。
含义:
厂商整合带来了更好的集成和更多可用于跨环境部署的功能,以应对组织不断扩大的攻击面。员工可以通过管理更少的集成来提高效率,并通过后端数据源从改进的分析中获益,这些数据源被自动地收集到运营平台中。
然而,由于厂商锁定,合并可能导致更高的成本,收购更多产品比组织可以利用的重叠功能更多。创业公司的减少可能导致针对新兴网络安全威胁的创新减少。在关键操作安全功能上对单个厂商的依赖程度越高,就会导致中断事件造成运营停摆的风险越高。
行动:
转变网络安全运营模式,支持价值创造
作者:William Candrick, Christopher Mixter, Bernard Woo, Chiara Girardi
概述:从2022年的41%,到2027年,75%的员工将获得、调整或创造IT可视化之外的技术
描述:
技术的获取、创建和交付正在从核心IT职能转移到业务线、公司职能、融合团队甚至个人员工。事实上,2022年41%员工在执行技术工作,接下来的五年里这一趋势呈指数增长。
这一趋势直接影响了CISO。例如,近四分之三的网络安全领导者发现,仅在过去12个月中,风险决策权和问责制就发生了变化。有一半领导者中认为,推动企业网络安全风险所属权的需求是促成这种变化的主要因素。
Gartner正在追踪网络安全运营模式的各种变化,包括:
趋势原因:
2022年,商业领袖们表达了他们对更多分布式技术工作的偏好。67%的CEO希望业务部门执行更多的技术工作,73%的IT行业以外的管理者希望他们的团队中有更多的技术人员。
事实上,企业领导人现在普遍承认,网络安全风险是需要管理的首要业务风险,而不是需要解决的技术问题。例如,88%的董事会董事认为网络安全风险主要是一种业务风险,而不是技术风险,这一比例从2016年的略高于一半,上升到2021年的88%。支持和推动业务产出是网络安全的核心,仍是最重要的挑战。
分布式技术和分析工作成倍地扩大了网络安全风险决策的数量、种类和速度。这种扩展远远超出了传统网络安全运营模式所能支持的范围。例如,不能在所有需要做出风险决策的地方都进行实际的风险评估操作、设定停止门、人工咨询。
为了满足领导层的期望,网络安全运营模式必须转变为支持和加速业务发展,同时又不会给业务和IT带来不必要的网络安全风险或摩擦。
含义:
CISO必须改变网络安全的运营模式。每个组成部分必须从根本上改变,方便地集成到如何在本地完成工作。考虑以下几点:
行动:
业务模块化需要模块化安全
