2020年Gartner发布的十大安全项目及对比

刚听完Gartner的会，与前两年相比还是有一些变化，又出现了一堆新名词。我们简要过一下今年的十大安全项目，并与以往进行一下对比。

1. Securing Your Remote Workforce（远程办公安全）疫情让远程办公变成常态，通过ZTNA来保障远程办公安全。Gartner认为采用ZTNA会驱动虚拟专用网替代。

2. Risk-Based Vulnerability Management（基于风险的漏洞管理）去年叫符合CARTA方法论的脆弱性管理，今年改叫基于风险的脆弱性管理了。Gartner认为补丁重要性是不同的，应该采用基于风险的方法来管理补丁程序，重点关注具有较高风险的系统和漏洞。

3. Platform Approach to Detection and Response（检测与响应的平台方法）去年叫Detection and response，今年多了个平台化。把众多安全设备检测数据集中包括EDR、SWG、CASB、IAM、DLP、NGFW等。然后做数据规范化后，形成数据湖，分析数据相关性，最后通过事件响应、自动化、工作流和APIs实现响应。总结一下就是拓展检测数据源，提升数据分析能力，最后落实到自动化响应上，这个貌似没什么新意。

4. Cloud Security Posture Management （云安全配置管理）CSPM是跨IaaS和PaaS来工作的，是对基础设施安全配置进行分析与管理，这个不是新概念。

5. Simplify Cloud Access Controls（简化云访问控制）企业希望能够在多个云服务中实现中心化策略和治理对于用户、设备、用户活动和敏感数据的可见性。

6. DMARC（基于域的消息认证报告和一致性）这个没听明白，临时查的wikipedia，DMARC （Domain-based Message Authentication， Reporting and Conformance）。DMARC是一种使电子邮件发送者和接收者更轻松的方法，确定给定消息是否合法地来自发送者。

7. Passwordless Authentication（无密码认证）完全消除密码目前看来还不太可能，但减少对密码的依赖已经是可行的，可以增加信任并改善用户体验。

8. Data Classification and Protection（数据分级与保护）不同用户分类分级的策略差异比较大，需要组织确定后通过技术来实现。这个国内情况貌似也差不多，分类分级打标签就是一大难题。

9. Workforce Competencies Assessment（员工能力评估）数字化商业要求我们有合适的人在正确的岗位上扮演正确的角色，拥有正确的技能和能力。看来安全人才缺口是全球性问题。

10. Automating Security Risk Assessments（自动化安全风险评估）只有58%的安全负责人对重要的新项目进行风险评估，自动化风险评估会简化了IT交付。

责编AJX