Gartner 2022安全與風險趨勢

發(fā)布時間 2022-04-20

3月初,Gartner確認了2022年的七大安全與風險趨勢。Gartner表示,安全和風險管理領導者需要應對七大趨勢,才能保護企業(yè)不斷擴張的數(shù)字足跡免受2022年及以后新威脅的影響。

Gartner研究副總裁PeterFirstbrook表示:“全球企業(yè)正面臨著復雜的勒索軟件攻擊、針對數(shù)字供應鏈的攻擊和深層漏洞。此次疫情加快了混合工作模式的發(fā)展和上云速度,這給CISO提出了一道難題:如何保護日益分散化的企業(yè),同時解決資深安全人員的短缺問題?!?/p>

這些挑戰(zhàn)引發(fā)了影響網(wǎng)絡安全實踐的三個總體趨勢:

(1)針對復雜威脅的新應對措施;

(2)安全實踐的演變和重構;

(3)對技術的重新思考。

以下趨勢將在這三個領域對行業(yè)產(chǎn)生廣泛影響。

趨勢1:受攻擊面擴大

企業(yè)的受攻擊的暴露面正在不斷擴大。信息物理系統(tǒng)和物聯(lián)網(wǎng)的使用、開源代碼、云應用、復雜的數(shù)字供應鏈、社交媒體等引發(fā)的風險使企業(yè)暴露出的受攻擊面超出了其可控資產(chǎn)的范圍。企業(yè)必須采用比傳統(tǒng)的安全監(jiān)控、檢測和響應更先進的方法,來管理更大范圍的安全風險。

數(shù)字風險保護服務(DRPS)、外部攻擊面管理(EASM)技術和網(wǎng)絡資產(chǎn)攻擊面管理(CAASM)將幫助CISO實現(xiàn)內外部業(yè)務系統(tǒng)的可視化,自動檢測安全短板。

數(shù)字風險一般指釣魚欺詐、數(shù)據(jù)泄露、盜版侵權、威脅誤報等數(shù)字化轉型中所面臨的風險,由于其態(tài)勢呈現(xiàn)出速度、幅度變化的多樣性,企業(yè)自身往往無暇防范,后續(xù)可能會借助安全廠商的服務來緩解此類風險。有興趣的可以閱讀一下《DRP數(shù)字風險防護2021年度報告》。

補充:網(wǎng)絡資產(chǎn)攻擊面管理(CAASM)出自《Hype Cycle for Security Operations, 2021》,攻擊面管理(ASM)旨在以攻擊者視角,從外部發(fā)現(xiàn)企業(yè)的數(shù)字資產(chǎn),包括應用、IP、端口、域名、數(shù)據(jù)、云服務等已知資產(chǎn)和未知資產(chǎn),并基于資產(chǎn)清點開展風險、脆弱性和異常行為評估,結合內部業(yè)務和外部威脅情況開展風險優(yōu)先排序,進而指導管理者制定緩解措施和處置計劃,及時進行攻擊面收斂,對威脅和風險進行有效管控。

在攻擊面管理(ASM)過程中,可以通過外部攻擊面管理(EASM)和網(wǎng)絡資產(chǎn)攻擊面管理(CAASM)的能力,進行攻擊面的主動檢測和持續(xù)監(jiān)控,通過擴展檢測和響應(XDR)能力被動進行攻擊面檢測和威脅發(fā)現(xiàn),通過突破和攻擊模擬(BAS)以及滲透測試服務(Pen Testing as a Service)等對抗的方式發(fā)現(xiàn)潛在的弱點和風險,通過威脅情報準確定位威脅行為,通過漏洞優(yōu)先級技術(VPT)指導攻擊面收斂。相關技術可以融入到攻擊面管理的技術框架中,并作為一個子集提供獨特的安全能力。

1.jpg

通過攻擊面管理(ASM)框架,可以有效整合企業(yè)的安全能力,實現(xiàn)對攻擊面的有效檢測、分析、響應和監(jiān)控。同時傳統(tǒng)的網(wǎng)絡安全方法論,例如PDCA、ASA(自適應安全框架)模型,都可以過渡到攻擊面管理方法框架中,最終實現(xiàn)以風險為導向的安全管理閉環(huán)。對于企業(yè)來說,可以有效降低技術成本,可以說攻擊面管理框架使企業(yè)具備了從合規(guī)導向步入風險導向的條件,讓企業(yè)能夠聚焦網(wǎng)絡安全的本質,符合全球網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的趨勢

趨勢2:數(shù)字供應鏈風險

攻擊數(shù)字供應鏈可以讓網(wǎng)絡犯罪分子產(chǎn)生高額的回報。隨著Log4j等漏洞在供應鏈上的傳播,預計將會出現(xiàn)更多威脅。Gartner預測,到2025年全球45%的企業(yè)機構將遭受軟件供應鏈攻擊,相比2021年增加3倍。

為了降低數(shù)字供應鏈風險,企業(yè)機構需要采取新的應對之策,包括進行更加慎重、基于風險的廠商/合作伙伴細分和評級,要求提供安全控制和最佳實踐的證明,向彈性思維轉變,未雨綢繆,走在即將出臺的法規(guī)之前。

補充:有人會說,我們現(xiàn)在連供應鏈安全都沒搞明白,怎么又來個數(shù)字供應鏈安全,這還怎么玩?其實,可以將其看錯“供應鏈+”,傳統(tǒng)供應鏈其實現(xiàn)在已經(jīng)不多見了,在當今的數(shù)字經(jīng)濟時代,企業(yè)都在加速數(shù)字化轉型,沒有網(wǎng)絡,很多公司可能都無法正常運轉,所以盡管提到了數(shù)字供應鏈,但實際還是傳統(tǒng)的供應鏈,只是把互聯(lián)網(wǎng)、數(shù)字化融合了進來。

2.jpg

讓我們來看下數(shù)字供應鏈的定義,在國務院辦公廳發(fā)布的《關于積極推進供應鏈創(chuàng)新與應用的指導意見》(國辦發(fā)〔2017〕84號)中,明確提出“供應鏈是以客戶需求為導向,以提高質量和效率為目標,以整合資源為手段,實現(xiàn)產(chǎn)品設計、采購、生產(chǎn)、銷售、服務等全過程高效協(xié)同的組織形態(tài)?!?/p>

根據(jù)網(wǎng)絡釋義,數(shù)字化供應鏈(DSC)Digital Supply Chain是全球化、智能化、柔性化生產(chǎn)的基礎。通過平臺實現(xiàn)B2B或C2M的批量生產(chǎn)或是單件定制。數(shù)字化供應鏈是基于云端數(shù)字化大數(shù)據(jù)實現(xiàn)智能機器人的處理及應用。只有把物數(shù)字化后才可能實現(xiàn)全球化智能化的生產(chǎn)。

趨勢3:身份威脅檢測和響應

精明的攻擊者正在瞄準針對身份和訪問管理(IAM)基礎設施,通過憑證濫用發(fā)起攻擊。Gartner提出了“身份威脅檢測和響應(ITDR)”這一術語來描述保護身份系統(tǒng)的工具和最佳實踐合集。

Firstbrook表示:“企業(yè)投入巨大精力來提升IAM能力,但其中大部分都專注于改進用戶身份認證技術,這實際上擴大了網(wǎng)絡安全基礎設施基本組成部分的受攻擊面。ITDR工具可以幫助保護身份系統(tǒng)、檢測它們何時遭到破壞并采取有效的補救措施?!?/p>

觀點:既然是Gartner造的新詞,那么一定是根據(jù)其之前的技術演變而來。這個路徑應該是:檢測與響應(EPP、EDR、UEBA)--XDR、CWPP—SASE(ZTA、IAM、NDR),然后有了ITDR。其他方面威脅檢測與分析不變,但關注的焦點從終端主機切換到了身份,這和零信任有些相似,把重點從邊界轉移到身份/設備。

趨勢4:分布式?jīng)Q策

企業(yè)的網(wǎng)絡安全需求和期望日趨成熟,隨著受攻擊面不斷擴大,高管們需要更加敏捷的安全措施。因此,為了滿足數(shù)字業(yè)務的范圍、規(guī)模和復雜性,需要將網(wǎng)絡安全決策、責任和問責制度分散到整個企業(yè),避免職能的集中化。

Firstbrook表示:“CISO的角色已經(jīng)從技術領域專家轉變?yōu)閳?zhí)行風險管理者。到2025年,單一、集中的網(wǎng)絡安全功能將無法滿足數(shù)字化企業(yè)的需求。CISO必須重新認識自身的職責,幫助董事會、首席執(zhí)行官和其他業(yè)務領導者做出明智的風險決策?!?/p>

觀點:Garnter最近幾年一直提倡一種去中心化的理念,比如今年的重要技術趨勢報告中,2020-2021年連續(xù)提到分布式云;2021年提出隨處運營、網(wǎng)絡安全網(wǎng)格、組裝式企業(yè)趨勢;2022年提出組裝式應用、自制系統(tǒng)(再次提到網(wǎng)絡安全網(wǎng)格)。從技術上升到管理,再到戰(zhàn)略決策,其實并不算意外。理念相同,高度不同。各位可以參考本人之前對這些趨勢的分析(參考資料4-6)。

趨勢5:超越安全意識培訓

許多數(shù)據(jù)泄露事件仍然因人為錯誤而引起,這證明傳統(tǒng)安全意識培訓方法是無效的。先進的企業(yè)機構正在投資于整體安全行為和文化計劃(SBCP),取代過時的以合規(guī)為中心的安全意識宣傳活動。整體安全行為和文化計劃側重培養(yǎng)新的思維方式和行為,從而使整個企業(yè)機構內部采取更加安全的工作方式。

觀點:根據(jù)BetterCloud對SaaS管理的調查顯示,疏忽大意是迄今為止導致數(shù)據(jù)丟失的最大威脅。在數(shù)據(jù)泄露方面,最大的威脅并不是自黑客或內部員工,相反,72%的組織表示,員工通常并沒有惡意,只是想做好自己的工作,但在此過程中可能會無意間暴露敏感信息。

在2020s年代,還在給員工做十年甚至二十年前的安全意識教育,可能有些不合時宜,開發(fā)一批新的安全意識培訓課程和理念也許是企業(yè)應該考慮的一個新問題。

趨勢6:廠商整合

在降低復雜性、減少管理開銷和提高有效性等需求的推動下,安全技術正在加速融合。擴展檢測和響應(XDR)、安全服務邊緣(SSE)和云原生應用保護平臺(CNAPP)等新的平臺策略正在加速釋放融合解決方案的效益。

例如,Gartner預測,到2024年,30%的企業(yè)將采用同一家廠商提供的云端安全網(wǎng)絡網(wǎng)關(SWG)、云接入安全代理(CASB)、零信任網(wǎng)絡接入(ZTNA)和分支機構防火墻即服務(FWaaS)功能。安全功能的整合將降低總體擁有成本,提高長期運營效率,進而提高整體安全系數(shù)。

觀點:其實也不算新趨勢,只不過隨著時間積累,造的輪子和孤島太多,越發(fā)復雜,難以管控,現(xiàn)在想要統(tǒng)一優(yōu)化管理,那豈不是天方夜譚?要想改就要從根入手,不下血本不夠狠,那基本是改不了的。產(chǎn)品、平臺、供應商整合喊了好多年,介于很多企業(yè)歷史遺留因素過多,暫時沒有太好的辦法。但是,一些初創(chuàng)和中小企業(yè)會容易很多,并從中受益。

趨勢7:網(wǎng)絡安全網(wǎng)格

安全產(chǎn)品的整合趨勢正在推動安全架構組件的集成,但企業(yè)機構仍需要定義統(tǒng)一的安全策略,啟用工作流,并在整合的解決方案之間交換數(shù)據(jù)。網(wǎng)絡安全網(wǎng)格架構(CSMA)有助于提供一個通用的集成式安全架構和態(tài)勢來保證所有本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。

3.jpg

Firstbrook表示:“Gartner發(fā)布的主要網(wǎng)絡安全趨勢并非孤立存在,而是相互依存和加強。它們將共同幫助首席信息安全官推動自身角色的演變,從而應對未來的安全和風險管理挑戰(zhàn),并繼續(xù)提升他們在企業(yè)機構中的地位?!?/span>