科技资讯

科技资讯

首页 > 科技资讯 > Gartner 预计;2019 年七大安全风险趋势分析

Gartner 预计;2019 年七大安全风险趋势分析

3个月前 热度:7534 ℃

CISO 一直在努力阐明基于风险的决策的重要性,并发现为组织创建风险偏好声明是使 IT 风险管理与业务目标保持一致的最有效工具。创建简单、实用的风险偏好声明,可以使 CISO 打破安全团队和不同业务单元之间存在的脱节。这是 Gartner 预计将在 2019 年影响 CISOs 的七大安全和风险管理趋势之一。

 Gartner 预计;2019 年七大安全风险趋势分析  科技资讯  第1张

一、SRM管理者持续发布以业务成果为导向的实用的风险偏好声明,有效提高了利益相关方的参与度。

为应对当前的安全形势,风险管理逐渐提上日程,现在已经不仅仅是管理好漏洞那么简单了,还包括战略、市场、供应商、内控、财务、资源优化等多方面的风险。一些大型甲方已经开始建立自己的风控体系,尤其是电商公司,目前面对比较头疼的就是 DDoS 攻击、APT、0day、薅羊毛以及社工。如何应对这些风险将成为未来几年企业安全的重中之重,而且前几天的《网络安全漏洞管理规定(征求意见稿)》也提到了要做好风险管理。

这里所提到的风险偏好,类似金融行业投资者的投资偏好,主要反映企业对于安全的一个导向和重要指导方针,如何应对安全、预算是否充足、是否愿意向安全投资、能够或愿意接受的风险水平是怎样的?首先做好这些基础工作,才能开展后续各项部署、计划以及实施和监督改进。最后,也是最为关键的一点,不管你拥有多么先进的技术、多么高端的人才或是多么强大的合作伙伴,如果利益相关方不关心安全,那么其实各位也不要太费心去做安全,其本身就是一种自上而下的治理方法,没有上层支持和推动,安全工作不会创造任何价值。

二、对威胁检测与响应功能的关注使得SOC部署和优化的热度再次上升。

SOC 吹了有好多年,目前真正可以拿来作为最佳实践的案例却不多,介于目前攻防回合制过家家的打法(你黑我一下,我防你一手,我再找洞,你再修补),预计这种僵持的局面可能会持续很久,何时能够打破僵局,出现一种新的安全防护手段将是关键。

既然还身处这样的环境,那么就事论事,必须做好当前的安全工作。从市场预测来看,SOC 已经不算新鲜,市场真正关注的是威胁检测与响应,非传统的态势感知,哪些都是吹出来的,目前还没有真正可称为态势感知的系统。结合如今 0day 黑产地下乱窜,APT 和钓鱼放长线,社工和羊毛党随处可见的时代,检测和响应的及时性和准确性是关键,能够第一时间组织损失,这是企业最为关心的事。

三、领军企业利用数据安全治理框架来确定数据安全投资的优先级。

随着《GDPR》出台,一年来效果显著,确实起到了一定的约束效力。但对于企业来说,并没有几家公司能做好数据安全,目前除了加密就是 DLP,全是被动手段,距离真正的数据治理还有很大差距。前些年提出的数据生命周期,是一个比较好的概念和理论框架,虽然费时费力,但从长远来看,企业越大,数据治理的必要性就越强,不做是不可能的。那么既然早晚都要做,不如早些起步,以免海量数据堆积起来再想开始就真的难了,只是一个数据分类分级就需要大量人力投入。

四、受需求和生物识别技术可用性以及基于硬件的强认证方式驱动,无密码认证开始引领市场。

为何无密码认证会引领市场,其实想想也是一种趋势,就好比云一样。举个例子,一个人在多个平台会拥有多个账号,目前不可能做到一账通,未来 10 年怕也是不可能。那么,每个平台对应的账号都有密码要求,有些还好,可能 6 位就可以,也不限制复杂度,而有些平台安全策略较高,要求至少 8 位,且必须包含某些复杂字符,那么接下来问题来了。一个人加入拥有 10 个账号,如果所有账号都用一个密码,肯定不安全;如果大多数账户密码不同,那么要记住这些密码对于一般人来说有些困难,不少人会记在本上或是存在一个文本里,那么这又存在安全隐患,被泄露只是时间问题。所以,无密码登录必然是未来的趋势,通过生物识别配合随机机制认证(类似手机扫码登录,不过比这要复杂一点),这是相对安全而且也是用户希望的。

未来几年,无密码认证服务可能会拥有非常广泛的市场份额。

五、安全厂商增值服务提供持续增长,以帮助客户获取更多短期价值并提供技能培训。

Gartner 最近一直强调客户体验,如何做好大客户服务,可见未来市场信息类服务会越来越多,那么哪家做得好,用户口碑好,就是最核心的竞争优势。抛开传统服务,安全厂商开始持续开发增值服务,之前看到的 XaaS 就是其中的一个例子,不只是 IaaS、 PaaS、 SaaS,云上整体解决方案,说白了,你只要说一句我家系统要上云,好了,其他您甭管嘞,厂商全给你做好,从前期需求、方案、迁移、部署、上线、测试、安全、运维,您只要掏钱跟我提需求就 OK。这是 Gartner 在今年 3 月提出一种新的云上服务方式。

六、云计算已成为主流平台,领军企业不断投资和完善自己的云安全能力。

云平台称为趋势已成必然,由于信息系统量级,需要逐步迁移,但以目前全球国家大型云服务提供商的服务水平来看,暂时可能还难以提供全方位的支持。阿里云,去年多次故障,严重影响客户;腾讯云,对于技术问题一刀切,客户满意度降低;亚马逊云,数据泄露,外加几年光缆被挖断,部分地区服务中断;以上只是运维方面的问题,在安全方面,各家也还是采用堆叠式被动防御,提供一堆安全产品,客户自行选择购买,虽说是云平台,高端大气,未来趋势,但依旧没有创新,和传统网络安全也没太大本质区别。何时能够由被动转为真正的主动式防御,真正为客户着想,安下心来做好安全,这时才能成为成熟的云计算平台。

七、CARTA 安全战略在传统安全市场开始崭露头角。

最近两年,自从 Gartner 提出 CARTA 这个词以后,就一直在主推它。什么是 CARTA,这里简单说一下。

CARTA:Continuous Adaptive Risk and Trust Assessment,持续自适应风险与信任评估。Gartner 推出了一个称作 CARTA 的战略方法,强调要持续地和自适应地对风险和信任两个要素进行评估。

  • 风险,是指判定网络中安全风险,包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题,力图识别出坏人(攻击、漏洞、威胁等)。说到风险,我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据,譬如以威胁为核心、数据驱动,等等,以风险为核心感觉过时了一样。其实,安全还真是要时时以风险为核心!数据、威胁、攻击、漏洞、资产,都是风险的要素和支撑。我们检测攻击,包括高级攻击,最终还是为了评估风险。

  • 信任是指判定身份,进行访问控制。持续自适应信任评估是从访问控制的角度看问题,力图识别出好人:授权/认证/访问。

  • 自适应,就是指我们在判定风险(包括攻击)的时候,不能仅仅依靠阻止措施,我们还要对网络进行细致地监测与响应,这其实就是 ASA 自适应安全架构的范畴。另一方面,在我们进行身份与访问控制的时候,也不能仅仅依靠简单的凭据,还需要根据访问的上下文和访问行为进行综合研判,动态赋权、动态变更权限。

  • 持续,就是指这个风险和信任的研判过程是持续不断,反复多次进行的。CARTA 强调对风险和信任的评估分析,这个分析的过程就是一个权衡的过程。天平很形象地阐释了 “权衡” (Balance) 一词。权衡的时候,切忌完美 (Perfect),不能要求零风险,不能追求 100% 信任,否则业务就没法开展了。好的做法是不断地在 0 和 1 之间调整。

CARTA 能够从运行、构建和规划三个维度(反着讲)来分别分析客户的业务系统如何运用 CARTA 战略方法。这里最厉害之处是 Gartner 将几乎所有他们以往定义的技术细分领域都囊括其中,而且十分自洽。

运行,自适应访问和自适应保护

访问,就是从信任的角度去进行访问控制;保护,就是从风险的角度去进行防御。自适应保护其实就对应了 Gartner 的自适应安全架构。在谈及保护的时候,Gartner 提到了一个响亮的观点:利用纵深分析(Analytics indepth)和自动化来进行保护。

  • 纵深分析:这是一个从纵深防御演进而来的术语,强调了随着安全问题逐渐变成大数据问题, 而大数据问题正在转变成大分析问题,进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判,动态地去进行风险与信任评估,同时还要将不同纵深的数据进行融合分析。而所有这些分析,都是为了更好的检测,而检测是属于防护的一环(跟阻断、响应一起)。

  • 自动化:在安全保护中,自动化的本质是为了为快速的响应。

总结

最后,以安全基础工作为结尾,在 Gartner2018 十大安全项目就提出了,企业如果想搞这些比较新的项目之前,要先看看自己的基础安全做得如何,其中包括:

已经有了较为先进的 EPP (Endpoint Protection Platform,端点保护平台),具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;

  • 已经做好了基本的 Windows 账户管理工作;

  • 已经有了 IAM (Identity and Access Management 的缩写),即 “身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

  • 有了常规化的补丁管理;

  • 已经有了标准化的服务器/云工作负载保护平台代理;

  • 具备较为强健的反垃圾邮件能力;

  • 部署了某种形式的 SIEM 或者日志管理解决方案,具有基本的检测/响应能力;

  • 建立了备份/恢复机制;

  • 有基本的安全意识培训;

  • 具备基本的互联网出口边界安全防护能力,包括 URL 过滤能力;

各位,这些工作是否都已经做到做好了呢?


发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

vivo秦飞:首款5G手机或将亏本卖,主要为推广5G

vivo秦飞:首款5G手机或将亏本卖,主要为推广5G

华哥科技7月28日消息,随着5G手机入网许可的陆续发放,第一批5G手机已经开始上市发售。在价格方面,5G手机并未像此前预测的超过万元。vivo通信研究院总经理秦飞在接受媒体采访时透露,首款5G手机将在...

携程将接入日本近万辆出租车,8月起逐步上线

携程将接入日本近万辆出租车,8月起逐步上线

华哥科技7月31日下午消息,携程近日宣布,其App中的接送机和包车将接入日本出租车运营商第一交通的车辆,为前往日本出境旅游的中国游客提供接送机、包车服务。这是携程继宣布提供全球多国打车服务后,再次在境...

贝索斯新创意;将用月球水冰制造氢气为航天器提炼燃料

贝索斯新创意;将用月球水冰制造氢气为航天器提炼燃料

华哥资讯6月20日消息,据CNBC报道,美国当地时间周三,在马萨诸塞州波士顿举行的肯尼迪航天峰会上,蓝色起源公司创始人杰夫·贝索斯(Jeff Bezos)透露了有关其月球计划的更多细节,包括解释如何利...

摩拜单车又涨价,上海深圳起步价从1元涨至1.5元

摩拜单车又涨价,上海深圳起步价从1元涨至1.5元

华哥科技7月24日,近日,摩拜(现美团单车)在上海和深圳宣布新版计费规则,起步价从1元涨至1.5元,7月26日起执行。和此前调整时长费相比,涨起步价似乎来得更直接。根据摩拜单车新版计费规则,7月26日...

小米金融怎么了?“正常还款却被 征信逾期"

小米金融怎么了?“正常还款却被 征信逾期"

为了满足资金需求,不少年轻人都有通过各种互联网金融App借款的经历。近日,一款名为“小米金融”的App遭诸多用户“集中吐槽”。  许多用户反映,自己莫名其妙“被逾期”了,即根据合同约定在还款日足额将款...

EE推出英国首个5G移动宽带,采用HTC设备

EE推出英国首个5G移动宽带,采用HTC设备

华哥7月1日消息 据外媒报道,英国运营商EE将推出5G移动宽带(5G移动热点),选用HTC的设备。据hexus报道,英国运营商EE宣布5G移动宽带计划,这是英国首家推出5G移动宽带电信公司。...

外媒:相比高价的Redmi K20,小米更需要POCO

外媒:相比高价的Redmi K20,小米更需要POCO

华哥科技7月28日消息 为庆祝小米在印度成立五周年,小米公司宣布将对其众多产品进行促销。事实上,在过去的五年里,小米手机在印度的市场份额一路飙升,以至于超越三星等传统巨头成为印度第一,那么这家年轻的公...

Spotify仅向苹果支付了约0.5%付费用户15%的佣金

Spotify仅向苹果支付了约0.5%付费用户15%的佣金

华哥6月25日消息 苹果和Spotify在欧洲进行了激烈的反垄断斗争,Spotify声称苹果的App Store规则赋予它不公平的竞争优势,苹果公司现已在向欧盟委员会提交的新文件中回应了Sp...