Gartner：2019年七大安全和风险趋势

在一次业务战略会议上，一家国家交通运输系统的首席信息安全官播放了一张幻灯片，内容是该机构的拟定风险偏好声明：

公司没有可能导致公众、乘客或工作人员受伤或失去生命的安全风险。所有安全目标都已实现并逐年改善。我们愿意接受可能导致经济损失的风险。公司在运算性能网络的可靠性和能力以及资产状况方面只容忍低到中的总体风险。

首席信息安全官一直致力于说明根据风险作出决策的重要性，而且他们发现创建风险偏好声明是让企业机构保持 IT 风险管理与业务目标一致性的最有效工具。首席信息安全官可通过创建简单、实用和务实的风险偏好声明消除网络安全团队与各业务部门之间的文化脱节。 Gartner 预计，这将是 2019 年影响首席信息安全官的七大网络安全和风险管理趋势之一。

Gartner 研究副总裁 Peter Firstbrook 在 2019 年 Gartner 安全与风险管理峰会（ Gartner Security and Risk Management Summit 2019 inNational Harbor ， MD ）上表示： “这些重要趋势突显了安全生态系统正在发生战略性转变，而这些转变目前尚未得到广泛的认可，但是具有广泛的行业影响力和巨大的颠覆潜力。这些发展趋势使安全和风险管理领导者（ SRM ）能够提高抵御能力、更好地支持业务目标并提升自身在企业机构中的地位。 ”

趋势一：领先的安全和风险管理领导者正在创建与业务成果相关的务实风险偏好声明，以更有效地吸引利益相关者。

根据 Gartner 客户的询问，安全和风险管理领导者所面临的最严峻挑战之一是无法与业务领导者进行有效沟通。 尽管首席信息安全官参与战略会议较多，但业务领导者往往无法判断某项技术或某个项目是否具有过高的风险或者企业机构是否因为过度规避风险而错失机会。

风险偏好声明将业务目标和风险应对计划相联系，以便在承担风险时向利益相关者和合作伙伴告知企业机构的意图。风险偏好声明必须明确、一致和具有相关性，并且必须为企业机构选择正确的实现方式。

趋势二：重新关注安全运营中心（SOC）的实施情况或成熟度，把重点放在威胁检测和响应上。

由于网络安全攻击的复杂性和影响日益增加以及网络安全工具产生警报的复杂性不断提高，企业机构希望能够建立或重新激活安全运营中心或者将这一功能外包。到 2022 年， 50% 的安全运营中心将转变为集成了事件响应、威胁情报和威胁搜寻能力的现代安全运营中心，而在 2015 年，这一比例还不到 10% 。

企业机构正在投资更敏感的工具并专注于维持响应和检测或预防之间的平衡。由于复杂的警报和工具数量增加，因此对于运营集中化和优化的需求也在增加，这意味着安全运营中心如今已是一种业务资产。

趋势三：领先的企业机构正在利用数据安全治理框架来确定数据安全投资的优先级别。

数据安全不仅仅是一个技术问题。为了实现有效的数据安全，可能需要建立数据安全治理框架来获得以数据为中心的蓝图；并通过该蓝图确认所有企业计算资产中的结构化和非结构化数据集并加以分类，同时制定数据安全策略。当安全和风险管理领导者确认了业务战略和风险承受能力时，该框架就可以作为技术投资优先级别指南。

趋势四：受市场需求以及生物识别技术与强大的基于硬件认证技术的推动，无密码认证正受到市场青睐。

无密码认证是一个长期目标，但直到现在才开始真正受到市场的青睐。密码会吸引攻击者，并且易受到社会工程学、网络钓鱼、撞库和恶意软件等多种攻击。

随着新的无密码标准的出现以及兼容无密码身份验证的设备数量日益增加，无密码认证的普及率正在提高。生物识别技术因具有强大的身份识别能力而成为一项越来越受欢迎的“无密码”技术。其他技术包括硬件令牌（ hardware tokens ）、电话令牌（ phone as a token ）、在线快速身份验证（ fast IDentity Online ）和被动行为分析（ analytics based on passive behaviors ）。

趋势五：越来越多的网络安全产品供应商开始提供优质的服务，帮助客户获得更直接的价值并协助客户进行技能培训。

全球空缺的网络安全职位预计将从 2018 年的 100 万个增加到 2020 年的 150 万个。 企业机构正在想方设法填补空缺的职位，但它们可能会发现即便是留住现有的员工也十分困难。与此同时，网络安全软件正在日益扩散和复杂化。一些技术，尤其是人工智能技术的运用，需要人类安全专家不断进行监控或调查。

可能在不久之后，就没有足够的技术人员来使用这些产品。因此，越来越多的供应商开始提供优质的服务，将产品与实施、配置和长期运营服务相结合。这意味着供应商可以帮助客户从工具中获得更直接的价值，并且企业机构可以提升网络管理员的技能水平。

趋势六：由于云已成为主流计算平台，因此领先的企业机构正在投资云安全能力并使这项能力变得更加成熟。

随着越来越多的企业机构开始使用云平台，网络安全团队将会遇到更加多样和复杂的云安全挑战。为了应对这个快速变化的环境，领先的企业机构正在建立云卓越技术中心团队并对人员、流程和工具加以投资。云访问安全代理（ CASB ）、云安全状态管理（ CSPM ）和云工作负载保护平台（ CWPP ）等工具能够提供多重云安全能力来应对风险，但企业机构仍须对人员和流程进行投资，例如采用 安全开发运维（ SecDevOps ）的工作方式等。

趋势七：持续自适应风险与信任评估网络安全策略开始出现在更传统的网络安全市场中。

持续自适应风险与信任评估（ CARTA ）是一种安全策略方法。 该策略方法承认没有完美的保护方法，因此需要随时随地调整安全策略。局域网网络安全和电子邮件安全这两个传统市场正在开始采用持续自适应风险与信任评估的思维模式，侧重于周界内检测以及检测与响应能力。