Gartner 2022安全與風(fēng)險(xiǎn)趨勢(shì)

發(fā)布時(shí)間 2022-04-20

3月初,Gartner確認(rèn)了2022年的七大安全與風(fēng)險(xiǎn)趨勢(shì)。Gartner表示,安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要應(yīng)對(duì)七大趨勢(shì),才能保護(hù)企業(yè)不斷擴(kuò)張的數(shù)字足跡免受2022年及以后新威脅的影響。

Gartner研究副總裁PeterFirstbrook表示:“全球企業(yè)正面臨著復(fù)雜的勒索軟件攻擊、針對(duì)數(shù)字供應(yīng)鏈的攻擊和深層漏洞。此次疫情加快了混合工作模式的發(fā)展和上云速度,這給CISO提出了一道難題:如何保護(hù)日益分散化的企業(yè),同時(shí)解決資深安全人員的短缺問(wèn)題?!?/p>

這些挑戰(zhàn)引發(fā)了影響網(wǎng)絡(luò)安全實(shí)踐的三個(gè)總體趨勢(shì):

(1)針對(duì)復(fù)雜威脅的新應(yīng)對(duì)措施;

(2)安全實(shí)踐的演變和重構(gòu);

(3)對(duì)技術(shù)的重新思考。

以下趨勢(shì)將在這三個(gè)領(lǐng)域?qū)π袠I(yè)產(chǎn)生廣泛影響。

趨勢(shì)1:受攻擊面擴(kuò)大

企業(yè)的受攻擊的暴露面正在不斷擴(kuò)大。信息物理系統(tǒng)和物聯(lián)網(wǎng)的使用、開源代碼、云應(yīng)用、復(fù)雜的數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風(fēng)險(xiǎn)使企業(yè)暴露出的受攻擊面超出了其可控資產(chǎn)的范圍。企業(yè)必須采用比傳統(tǒng)的安全監(jiān)控、檢測(cè)和響應(yīng)更先進(jìn)的方法,來(lái)管理更大范圍的安全風(fēng)險(xiǎn)。

數(shù)字風(fēng)險(xiǎn)保護(hù)服務(wù)(DRPS)外部攻擊面管理(EASM)技術(shù)和網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)將幫助CISO實(shí)現(xiàn)內(nèi)外部業(yè)務(wù)系統(tǒng)的可視化,自動(dòng)檢測(cè)安全短板。

數(shù)字風(fēng)險(xiǎn)一般指釣魚欺詐、數(shù)據(jù)泄露、盜版侵權(quán)、威脅誤報(bào)等數(shù)字化轉(zhuǎn)型中所面臨的風(fēng)險(xiǎn),由于其態(tài)勢(shì)呈現(xiàn)出速度、幅度變化的多樣性,企業(yè)自身往往無(wú)暇防范,后續(xù)可能會(huì)借助安全廠商的服務(wù)來(lái)緩解此類風(fēng)險(xiǎn)。有興趣的可以閱讀一下《DRP數(shù)字風(fēng)險(xiǎn)防護(hù)2021年度報(bào)告》。

補(bǔ)充:網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)出自《Hype Cycle for Security Operations, 2021》,攻擊面管理(ASM)旨在以攻擊者視角,從外部發(fā)現(xiàn)企業(yè)的數(shù)字資產(chǎn),包括應(yīng)用、IP、端口、域名、數(shù)據(jù)、云服務(wù)等已知資產(chǎn)和未知資產(chǎn),并基于資產(chǎn)清點(diǎn)開展風(fēng)險(xiǎn)、脆弱性和異常行為評(píng)估,結(jié)合內(nèi)部業(yè)務(wù)和外部威脅情況開展風(fēng)險(xiǎn)優(yōu)先排序,進(jìn)而指導(dǎo)管理者制定緩解措施和處置計(jì)劃,及時(shí)進(jìn)行攻擊面收斂,對(duì)威脅和風(fēng)險(xiǎn)進(jìn)行有效管控。

在攻擊面管理(ASM)過(guò)程中,可以通過(guò)外部攻擊面管理(EASM)和網(wǎng)絡(luò)資產(chǎn)攻擊面管理(CAASM)的能力,進(jìn)行攻擊面的主動(dòng)檢測(cè)和持續(xù)監(jiān)控,通過(guò)擴(kuò)展檢測(cè)和響應(yīng)(XDR)能力被動(dòng)進(jìn)行攻擊面檢測(cè)和威脅發(fā)現(xiàn),通過(guò)突破和攻擊模擬(BAS)以及滲透測(cè)試服務(wù)(Pen Testing as a Service)等對(duì)抗的方式發(fā)現(xiàn)潛在的弱點(diǎn)和風(fēng)險(xiǎn),通過(guò)威脅情報(bào)準(zhǔn)確定位威脅行為,通過(guò)漏洞優(yōu)先級(jí)技術(shù)(VPT)指導(dǎo)攻擊面收斂。相關(guān)技術(shù)可以融入到攻擊面管理的技術(shù)框架中,并作為一個(gè)子集提供獨(dú)特的安全能力。

1.jpg

通過(guò)攻擊面管理(ASM)框架,可以有效整合企業(yè)的安全能力,實(shí)現(xiàn)對(duì)攻擊面的有效檢測(cè)、分析、響應(yīng)和監(jiān)控。同時(shí)傳統(tǒng)的網(wǎng)絡(luò)安全方法論,例如PDCA、ASA(自適應(yīng)安全框架)模型,都可以過(guò)渡到攻擊面管理方法框架中,最終實(shí)現(xiàn)以風(fēng)險(xiǎn)為導(dǎo)向的安全管理閉環(huán)。對(duì)于企業(yè)來(lái)說(shuō),可以有效降低技術(shù)成本,可以說(shuō)攻擊面管理框架使企業(yè)具備了從合規(guī)導(dǎo)向步入風(fēng)險(xiǎn)導(dǎo)向的條件,讓企業(yè)能夠聚焦網(wǎng)絡(luò)安全的本質(zhì),符合全球網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的趨勢(shì)

趨勢(shì)2:數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)

攻擊數(shù)字供應(yīng)鏈可以讓網(wǎng)絡(luò)犯罪分子產(chǎn)生高額的回報(bào)。隨著Log4j等漏洞在供應(yīng)鏈上的傳播,預(yù)計(jì)將會(huì)出現(xiàn)更多威脅。Gartner預(yù)測(cè),到2025年全球45%的企業(yè)機(jī)構(gòu)將遭受軟件供應(yīng)鏈攻擊,相比2021年增加3倍。

為了降低數(shù)字供應(yīng)鏈風(fēng)險(xiǎn),企業(yè)機(jī)構(gòu)需要采取新的應(yīng)對(duì)之策,包括進(jìn)行更加慎重、基于風(fēng)險(xiǎn)的廠商/合作伙伴細(xì)分和評(píng)級(jí),要求提供安全控制和最佳實(shí)踐的證明,向彈性思維轉(zhuǎn)變,未雨綢繆,走在即將出臺(tái)的法規(guī)之前。

補(bǔ)充:有人會(huì)說(shuō),我們現(xiàn)在連供應(yīng)鏈安全都沒(méi)搞明白,怎么又來(lái)個(gè)數(shù)字供應(yīng)鏈安全,這還怎么玩?其實(shí),可以將其看錯(cuò)“供應(yīng)鏈+”,傳統(tǒng)供應(yīng)鏈其實(shí)現(xiàn)在已經(jīng)不多見了,在當(dāng)今的數(shù)字經(jīng)濟(jì)時(shí)代,企業(yè)都在加速數(shù)字化轉(zhuǎn)型,沒(méi)有網(wǎng)絡(luò),很多公司可能都無(wú)法正常運(yùn)轉(zhuǎn),所以盡管提到了數(shù)字供應(yīng)鏈,但實(shí)際還是傳統(tǒng)的供應(yīng)鏈,只是把互聯(lián)網(wǎng)、數(shù)字化融合了進(jìn)來(lái)。

2.jpg

讓我們來(lái)看下數(shù)字供應(yīng)鏈的定義,在國(guó)務(wù)院辦公廳發(fā)布的《關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見》(國(guó)辦發(fā)〔2017〕84號(hào))中,明確提出“供應(yīng)鏈?zhǔn)且钥蛻粜枨鬄閷?dǎo)向,以提高質(zhì)量和效率為目標(biāo),以整合資源為手段,實(shí)現(xiàn)產(chǎn)品設(shè)計(jì)、采購(gòu)、生產(chǎn)、銷售、服務(wù)等全過(guò)程高效協(xié)同的組織形態(tài)?!?/p>

根據(jù)網(wǎng)絡(luò)釋義,數(shù)字化供應(yīng)鏈(DSC)Digital Supply Chain是全球化、智能化、柔性化生產(chǎn)的基礎(chǔ)。通過(guò)平臺(tái)實(shí)現(xiàn)B2B或C2M的批量生產(chǎn)或是單件定制。數(shù)字化供應(yīng)鏈?zhǔn)腔谠贫藬?shù)字化大數(shù)據(jù)實(shí)現(xiàn)智能機(jī)器人的處理及應(yīng)用。只有把物數(shù)字化后才可能實(shí)現(xiàn)全球化智能化的生產(chǎn)。

趨勢(shì)3:身份威脅檢測(cè)和響應(yīng)

精明的攻擊者正在瞄準(zhǔn)針對(duì)身份和訪問(wèn)管理(IAM)基礎(chǔ)設(shè)施,通過(guò)憑證濫用發(fā)起攻擊。Gartner提出了“身份威脅檢測(cè)和響應(yīng)(ITDR)”這一術(shù)語(yǔ)來(lái)描述保護(hù)身份系統(tǒng)的工具和最佳實(shí)踐合集。

Firstbrook表示:“企業(yè)投入巨大精力來(lái)提升IAM能力,但其中大部分都專注于改進(jìn)用戶身份認(rèn)證技術(shù),這實(shí)際上擴(kuò)大了網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施基本組成部分的受攻擊面。ITDR工具可以幫助保護(hù)身份系統(tǒng)、檢測(cè)它們何時(shí)遭到破壞并采取有效的補(bǔ)救措施。”

觀點(diǎn):既然是Gartner造的新詞,那么一定是根據(jù)其之前的技術(shù)演變而來(lái)。這個(gè)路徑應(yīng)該是:檢測(cè)與響應(yīng)(EPP、EDR、UEBA)--XDR、CWPP—SASE(ZTA、IAM、NDR),然后有了ITDR。其他方面威脅檢測(cè)與分析不變,但關(guān)注的焦點(diǎn)從終端主機(jī)切換到了身份,這和零信任有些相似,把重點(diǎn)從邊界轉(zhuǎn)移到身份/設(shè)備。

趨勢(shì)4:分布式?jīng)Q策

企業(yè)的網(wǎng)絡(luò)安全需求和期望日趨成熟,隨著受攻擊面不斷擴(kuò)大,高管們需要更加敏捷的安全措施。因此,為了滿足數(shù)字業(yè)務(wù)的范圍、規(guī)模和復(fù)雜性,需要將網(wǎng)絡(luò)安全決策、責(zé)任和問(wèn)責(zé)制度分散到整個(gè)企業(yè),避免職能的集中化。

Firstbrook表示:“CISO的角色已經(jīng)從技術(shù)領(lǐng)域?qū)<肄D(zhuǎn)變?yōu)閳?zhí)行風(fēng)險(xiǎn)管理者。到2025年,單一、集中的網(wǎng)絡(luò)安全功能將無(wú)法滿足數(shù)字化企業(yè)的需求。CISO必須重新認(rèn)識(shí)自身的職責(zé),幫助董事會(huì)、首席執(zhí)行官和其他業(yè)務(wù)領(lǐng)導(dǎo)者做出明智的風(fēng)險(xiǎn)決策?!?/p>

觀點(diǎn):Garnter最近幾年一直提倡一種去中心化的理念,比如今年的重要技術(shù)趨勢(shì)報(bào)告中,2020-2021年連續(xù)提到分布式云;2021年提出隨處運(yùn)營(yíng)、網(wǎng)絡(luò)安全網(wǎng)格、組裝式企業(yè)趨勢(shì);2022年提出組裝式應(yīng)用、自制系統(tǒng)(再次提到網(wǎng)絡(luò)安全網(wǎng)格)。從技術(shù)上升到管理,再到戰(zhàn)略決策,其實(shí)并不算意外。理念相同,高度不同。各位可以參考本人之前對(duì)這些趨勢(shì)的分析(參考資料4-6)。

趨勢(shì)5:超越安全意識(shí)培訓(xùn)

許多數(shù)據(jù)泄露事件仍然因人為錯(cuò)誤而引起,這證明傳統(tǒng)安全意識(shí)培訓(xùn)方法是無(wú)效的。先進(jìn)的企業(yè)機(jī)構(gòu)正在投資于整體安全行為和文化計(jì)劃(SBCP),取代過(guò)時(shí)的以合規(guī)為中心的安全意識(shí)宣傳活動(dòng)。整體安全行為和文化計(jì)劃側(cè)重培養(yǎng)新的思維方式和行為,從而使整個(gè)企業(yè)機(jī)構(gòu)內(nèi)部采取更加安全的工作方式。

觀點(diǎn):根據(jù)BetterCloud對(duì)SaaS管理的調(diào)查顯示,疏忽大意是迄今為止導(dǎo)致數(shù)據(jù)丟失的最大威脅。在數(shù)據(jù)泄露方面,最大的威脅并不是自黑客或內(nèi)部員工,相反,72%的組織表示,員工通常并沒(méi)有惡意,只是想做好自己的工作,但在此過(guò)程中可能會(huì)無(wú)意間暴露敏感信息。

在2020s年代,還在給員工做十年甚至二十年前的安全意識(shí)教育,可能有些不合時(shí)宜,開發(fā)一批新的安全意識(shí)培訓(xùn)課程和理念也許是企業(yè)應(yīng)該考慮的一個(gè)新問(wèn)題。

趨勢(shì)6:廠商整合

在降低復(fù)雜性、減少管理開銷和提高有效性等需求的推動(dòng)下,安全技術(shù)正在加速融合。擴(kuò)展檢測(cè)和響應(yīng)(XDR)、安全服務(wù)邊緣(SSE)和云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)等新的平臺(tái)策略正在加速釋放融合解決方案的效益。

例如,Gartner預(yù)測(cè),到2024年,30%的企業(yè)將采用同一家廠商提供的云端安全網(wǎng)絡(luò)網(wǎng)關(guān)(SWG)、云接入安全代理(CASB)、零信任網(wǎng)絡(luò)接入(ZTNA)和分支機(jī)構(gòu)防火墻即服務(wù)(FWaaS)功能。安全功能的整合將降低總體擁有成本,提高長(zhǎng)期運(yùn)營(yíng)效率,進(jìn)而提高整體安全系數(shù)。

觀點(diǎn):其實(shí)也不算新趨勢(shì),只不過(guò)隨著時(shí)間積累,造的輪子和孤島太多,越發(fā)復(fù)雜,難以管控,現(xiàn)在想要統(tǒng)一優(yōu)化管理,那豈不是天方夜譚?要想改就要從根入手,不下血本不夠狠,那基本是改不了的。產(chǎn)品、平臺(tái)、供應(yīng)商整合喊了好多年,介于很多企業(yè)歷史遺留因素過(guò)多,暫時(shí)沒(méi)有太好的辦法。但是,一些初創(chuàng)和中小企業(yè)會(huì)容易很多,并從中受益。

趨勢(shì)7:網(wǎng)絡(luò)安全網(wǎng)格

安全產(chǎn)品的整合趨勢(shì)正在推動(dòng)安全架構(gòu)組件的集成,但企業(yè)機(jī)構(gòu)仍需要定義統(tǒng)一的安全策略,啟用工作流,并在整合的解決方案之間交換數(shù)據(jù)。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)(CSMA)有助于提供一個(gè)通用的集成式安全架構(gòu)和態(tài)勢(shì)來(lái)保證所有本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。

3.jpg

Firstbrook表示:“Gartner發(fā)布的主要網(wǎng)絡(luò)安全趨勢(shì)并非孤立存在,而是相互依存和加強(qiáng)。它們將共同幫助首席信息安全官推動(dòng)自身角色的演變,從而應(yīng)對(duì)未來(lái)的安全和風(fēng)險(xiǎn)管理挑戰(zhàn),并繼續(xù)提升他們?cè)谄髽I(yè)機(jī)構(gòu)中的地位?!?/span>