科技资讯

科技资讯

首页 > 科技资讯 > Gartner 预计;2019 年七大安全风险趋势分析

Gartner 预计;2019 年七大安全风险趋势分析

2周前 热度:4281 ℃

CISO 一直在努力阐明基于风险的决策的重要性,并发现为组织创建风险偏好声明是使 IT 风险管理与业务目标保持一致的最有效工具。创建简单、实用的风险偏好声明,可以使 CISO 打破安全团队和不同业务单元之间存在的脱节。这是 Gartner 预计将在 2019 年影响 CISOs 的七大安全和风险管理趋势之一。

 Gartner 预计;2019 年七大安全风险趋势分析  科技资讯  第1张

一、SRM管理者持续发布以业务成果为导向的实用的风险偏好声明,有效提高了利益相关方的参与度。

为应对当前的安全形势,风险管理逐渐提上日程,现在已经不仅仅是管理好漏洞那么简单了,还包括战略、市场、供应商、内控、财务、资源优化等多方面的风险。一些大型甲方已经开始建立自己的风控体系,尤其是电商公司,目前面对比较头疼的就是 DDoS 攻击、APT、0day、薅羊毛以及社工。如何应对这些风险将成为未来几年企业安全的重中之重,而且前几天的《网络安全漏洞管理规定(征求意见稿)》也提到了要做好风险管理。

这里所提到的风险偏好,类似金融行业投资者的投资偏好,主要反映企业对于安全的一个导向和重要指导方针,如何应对安全、预算是否充足、是否愿意向安全投资、能够或愿意接受的风险水平是怎样的?首先做好这些基础工作,才能开展后续各项部署、计划以及实施和监督改进。最后,也是最为关键的一点,不管你拥有多么先进的技术、多么高端的人才或是多么强大的合作伙伴,如果利益相关方不关心安全,那么其实各位也不要太费心去做安全,其本身就是一种自上而下的治理方法,没有上层支持和推动,安全工作不会创造任何价值。

二、对威胁检测与响应功能的关注使得SOC部署和优化的热度再次上升。

SOC 吹了有好多年,目前真正可以拿来作为最佳实践的案例却不多,介于目前攻防回合制过家家的打法(你黑我一下,我防你一手,我再找洞,你再修补),预计这种僵持的局面可能会持续很久,何时能够打破僵局,出现一种新的安全防护手段将是关键。

既然还身处这样的环境,那么就事论事,必须做好当前的安全工作。从市场预测来看,SOC 已经不算新鲜,市场真正关注的是威胁检测与响应,非传统的态势感知,哪些都是吹出来的,目前还没有真正可称为态势感知的系统。结合如今 0day 黑产地下乱窜,APT 和钓鱼放长线,社工和羊毛党随处可见的时代,检测和响应的及时性和准确性是关键,能够第一时间组织损失,这是企业最为关心的事。

三、领军企业利用数据安全治理框架来确定数据安全投资的优先级。

随着《GDPR》出台,一年来效果显著,确实起到了一定的约束效力。但对于企业来说,并没有几家公司能做好数据安全,目前除了加密就是 DLP,全是被动手段,距离真正的数据治理还有很大差距。前些年提出的数据生命周期,是一个比较好的概念和理论框架,虽然费时费力,但从长远来看,企业越大,数据治理的必要性就越强,不做是不可能的。那么既然早晚都要做,不如早些起步,以免海量数据堆积起来再想开始就真的难了,只是一个数据分类分级就需要大量人力投入。

四、受需求和生物识别技术可用性以及基于硬件的强认证方式驱动,无密码认证开始引领市场。

为何无密码认证会引领市场,其实想想也是一种趋势,就好比云一样。举个例子,一个人在多个平台会拥有多个账号,目前不可能做到一账通,未来 10 年怕也是不可能。那么,每个平台对应的账号都有密码要求,有些还好,可能 6 位就可以,也不限制复杂度,而有些平台安全策略较高,要求至少 8 位,且必须包含某些复杂字符,那么接下来问题来了。一个人加入拥有 10 个账号,如果所有账号都用一个密码,肯定不安全;如果大多数账户密码不同,那么要记住这些密码对于一般人来说有些困难,不少人会记在本上或是存在一个文本里,那么这又存在安全隐患,被泄露只是时间问题。所以,无密码登录必然是未来的趋势,通过生物识别配合随机机制认证(类似手机扫码登录,不过比这要复杂一点),这是相对安全而且也是用户希望的。

未来几年,无密码认证服务可能会拥有非常广泛的市场份额。

五、安全厂商增值服务提供持续增长,以帮助客户获取更多短期价值并提供技能培训。

Gartner 最近一直强调客户体验,如何做好大客户服务,可见未来市场信息类服务会越来越多,那么哪家做得好,用户口碑好,就是最核心的竞争优势。抛开传统服务,安全厂商开始持续开发增值服务,之前看到的 XaaS 就是其中的一个例子,不只是 IaaS、 PaaS、 SaaS,云上整体解决方案,说白了,你只要说一句我家系统要上云,好了,其他您甭管嘞,厂商全给你做好,从前期需求、方案、迁移、部署、上线、测试、安全、运维,您只要掏钱跟我提需求就 OK。这是 Gartner 在今年 3 月提出一种新的云上服务方式。

六、云计算已成为主流平台,领军企业不断投资和完善自己的云安全能力。

云平台称为趋势已成必然,由于信息系统量级,需要逐步迁移,但以目前全球国家大型云服务提供商的服务水平来看,暂时可能还难以提供全方位的支持。阿里云,去年多次故障,严重影响客户;腾讯云,对于技术问题一刀切,客户满意度降低;亚马逊云,数据泄露,外加几年光缆被挖断,部分地区服务中断;以上只是运维方面的问题,在安全方面,各家也还是采用堆叠式被动防御,提供一堆安全产品,客户自行选择购买,虽说是云平台,高端大气,未来趋势,但依旧没有创新,和传统网络安全也没太大本质区别。何时能够由被动转为真正的主动式防御,真正为客户着想,安下心来做好安全,这时才能成为成熟的云计算平台。

七、CARTA 安全战略在传统安全市场开始崭露头角。

最近两年,自从 Gartner 提出 CARTA 这个词以后,就一直在主推它。什么是 CARTA,这里简单说一下。

CARTA:Continuous Adaptive Risk and Trust Assessment,持续自适应风险与信任评估。Gartner 推出了一个称作 CARTA 的战略方法,强调要持续地和自适应地对风险和信任两个要素进行评估。

  • 风险,是指判定网络中安全风险,包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题,力图识别出坏人(攻击、漏洞、威胁等)。说到风险,我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据,譬如以威胁为核心、数据驱动,等等,以风险为核心感觉过时了一样。其实,安全还真是要时时以风险为核心!数据、威胁、攻击、漏洞、资产,都是风险的要素和支撑。我们检测攻击,包括高级攻击,最终还是为了评估风险。

  • 信任是指判定身份,进行访问控制。持续自适应信任评估是从访问控制的角度看问题,力图识别出好人:授权/认证/访问。

  • 自适应,就是指我们在判定风险(包括攻击)的时候,不能仅仅依靠阻止措施,我们还要对网络进行细致地监测与响应,这其实就是 ASA 自适应安全架构的范畴。另一方面,在我们进行身份与访问控制的时候,也不能仅仅依靠简单的凭据,还需要根据访问的上下文和访问行为进行综合研判,动态赋权、动态变更权限。

  • 持续,就是指这个风险和信任的研判过程是持续不断,反复多次进行的。CARTA 强调对风险和信任的评估分析,这个分析的过程就是一个权衡的过程。天平很形象地阐释了 “权衡” (Balance) 一词。权衡的时候,切忌完美 (Perfect),不能要求零风险,不能追求 100% 信任,否则业务就没法开展了。好的做法是不断地在 0 和 1 之间调整。

CARTA 能够从运行、构建和规划三个维度(反着讲)来分别分析客户的业务系统如何运用 CARTA 战略方法。这里最厉害之处是 Gartner 将几乎所有他们以往定义的技术细分领域都囊括其中,而且十分自洽。

运行,自适应访问和自适应保护

访问,就是从信任的角度去进行访问控制;保护,就是从风险的角度去进行防御。自适应保护其实就对应了 Gartner 的自适应安全架构。在谈及保护的时候,Gartner 提到了一个响亮的观点:利用纵深分析(Analytics indepth)和自动化来进行保护。

  • 纵深分析:这是一个从纵深防御演进而来的术语,强调了随着安全问题逐渐变成大数据问题, 而大数据问题正在转变成大分析问题,进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判,动态地去进行风险与信任评估,同时还要将不同纵深的数据进行融合分析。而所有这些分析,都是为了更好的检测,而检测是属于防护的一环(跟阻断、响应一起)。

  • 自动化:在安全保护中,自动化的本质是为了为快速的响应。

总结

最后,以安全基础工作为结尾,在 Gartner2018 十大安全项目就提出了,企业如果想搞这些比较新的项目之前,要先看看自己的基础安全做得如何,其中包括:

已经有了较为先进的 EPP (Endpoint Protection Platform,端点保护平台),具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;

  • 已经做好了基本的 Windows 账户管理工作;

  • 已经有了 IAM (Identity and Access Management 的缩写),即 “身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

  • 有了常规化的补丁管理;

  • 已经有了标准化的服务器/云工作负载保护平台代理;

  • 具备较为强健的反垃圾邮件能力;

  • 部署了某种形式的 SIEM 或者日志管理解决方案,具有基本的检测/响应能力;

  • 建立了备份/恢复机制;

  • 有基本的安全意识培训;

  • 具备基本的互联网出口边界安全防护能力,包括 URL 过滤能力;

各位,这些工作是否都已经做到做好了呢?


发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

滴滴:网约车很安全,但顺风车重启时间依旧未知!

滴滴:网约车很安全,但顺风车重启时间依旧未知!

华哥7月3日消息 作为目前网约车市场上当仁不让的霸主,滴滴的动向总是备受关注,尤其是在去年接二连三爆出意外事件而让滴滴陷入到风口浪尖之中。在那之后,网约车的安全问题,停摆至今的顺风车业务何时重启的问题...

谷歌Pixel 4 真机上手图曝光,你觉得怎么样?

谷歌Pixel 4 真机上手图曝光,你觉得怎么样?

华哥科技6月15日消息 昨天,谷歌在自家的Twitter帐户上公布了Pixel 4手机的背面渲染图,现在外媒9to5Google又公布了一张上手图,一起来看一下吧。据介绍,照片是匿名的人共享给9to5...

英ARM公司停止与华为全部合作、暂停销售华为手机?

英ARM公司停止与华为全部合作、暂停销售华为手机?

华哥科技报道 一纸“莫须有”的指控,让科技巨头华为瞬间站到了风口浪尖,尤其在遭遇到可能存在的断供危机时,也不由得让人们对于华为的未来产生了更多的担忧。不过在一直处于领先地位的5G领域,华为还是一如既往...

华为起诉美国政府,美司法部要求联邦法官拒绝受理

华为起诉美国政府,美司法部要求联邦法官拒绝受理

华哥科技7月5日消息 今年3月7日,华为在其深圳总部正式对美国政府提起诉讼,请求美国法院判决“华为禁售令”违反该国宪法。而在当地时间7月3日,作为辩方的美国政府,又要求法院拒绝受理此案。值得一提,在美...

孙宇晨:支持对小鹏汽车维权 拿1000万作起诉保证金

孙宇晨:支持对小鹏汽车维权 拿1000万作起诉保证金

华哥科技7月15日昨天晚间,孙宇晨在微博中称,“支持对@小鹏汽车 进行维权!不得对消费者进行欺诈,侵犯老用户合法权益!我个人先拿出一千万人民币作为法律起诉保证金!所有对于小鹏汽车补偿方案不满意的用户可...

中国正式发4张发商用5G牌照,让人们生活改变什么?

中国正式发4张发商用5G牌照,让人们生活改变什么?

2019年6月6日,工信部今日向中国电信,中国移动,中国联通,中国广电发商用5G牌照,中国信息通信研究院政策与经济研究所高级工程师龚达宁,就5G相关问题接受记者采访。以下为采访实录。华哥科技任务5G给...

目前提供5G商用服务的国家有哪些

目前提供5G商用服务的国家有哪些

据国外媒体报道,自去年12月1日韩国推出面向企业用户的5G服务开始,全球5G开始商用服务已有半年的时间,在这半年多时间里,也有更多的国家开始提供5G商用服务,目前韩国、美国、瑞士、意大利、英国、阿联酋...

罗永浩要怎么做?电子烟和手机谁能救锤子科技?

罗永浩要怎么做?电子烟和手机谁能救锤子科技?

罗永浩现在在做什么?手机还是电子烟?恐怕很多人都说不清。但是,这不妨碍他一再成为舆论的焦点,尽管还有一堆烂摊子没有解决。最近,罗永浩又活跃起来了,包括其在社交软件上的高调甚至是不羁。在微博频繁地与网友...