Gartner2021年安全和风险管理领域的八大趋势

据知名咨询机构Gartner声称，随着新冠疫情加速数字化业务转型，并挑战传统的网络安全实践，安全和风险管理领导人须应对八大趋势，帮助本组织迅速完成重塑。

近日，Gartner安全和风险管理峰会在亚太地区线上召开，Gartner研究副总裁彼得？弗斯特布鲁克（Peter Firstbrook）在峰会的开幕主题演讲中表示，这些趋势是对所有企业组织遇到的持续不断的全球挑战做出的回应。

弗斯特布鲁克先生说：“第一个挑战是技能缺口。80%的组织告诉我们，它们很难找到和聘用安全专业人员；71%的组织则表示，技能缺口在影响它们在组织内交付安全项目的能力。”

2021年安全和风险领导人面临其他重大挑战，包括复杂的地缘政治形势，越来越多的全球法规，工作场所和工作负载从传统网络迁移出去，端点多样性和位置激增，攻击环境出现变化，尤其是勒索软件和商业电子邮件入侵带来了挑战。

以下几大趋势代表商业、市场和技术领域出现的动态，预计会对行业产生广泛的影响，并大有潜力颠覆现状。

Gartner 2021年安全和风险管理领域的八大趋势

趋势一：网络安全网格

网络安全网格是一种现代安全方法，包括在最需要的地方部署控制措施。网络安全网格通过提供基础安全服务以及集中式策略管理和编排功能，使诸多工具能够协同操作，而不是每个安全工具都在孤岛环境中使用。如今许多IT资产在传统的企业边界之外，网络安全网格这种架构使组织可以将安全控制措施的覆盖范围扩大到分布式资产。

趋势二：身份优先的安全

这是多年来理想的愿景：任何用户随时随地可以访问（常常名为“身份作为新的安全边界”）。由于技术和文化方面的转变，加上现在新冠疫情期间远程员工占大多数，这个愿景已成为了现实。身份优先的安全将身份置于安全设计的中心，要求与传统的局域网边缘设计思想大相径庭。

弗斯特布鲁克先生说：“SolarWinds攻击表明了我们在管理和监控身份方面做得不好。虽然企业组织在多因子身份验证、单点登录和生物特征身份验证上花费了大量资金和时间，但在有效监控身份验证以发现针对该基础架构的攻击上所花的资金和时间少得可怜。”

趋势三：远程工作得到安全支持

据Gartner的《2021年CIO工作议程调查》显示，现在64%的员工能够在家工作。Gartner的调查显示，至少30%至40%的人疫情后会继续在家工作。对于许多组织而言，这种转变需要完全重新考虑适合现代远程工作场所的策略和安全工具。比如说，端点保护服务将需要改为云交付的服务。安全领导人还需要重新考虑用于数据保护、灾难恢复和备份的策略，以确保它们仍适用于远程环境。

趋势四：通晓网络的董事会

在Gartner的《2021年董事会调查》中，许多董事将网络安全评为企业面临的第二大风险源，仅次于法规遵从。大企业正开始在董事会层面设立一个专门的网络安全委员会，由具有安全专长的董事会成员或第三方顾问担任领导。

Gartner预测，到2025年，40%的董事会将设有专门的网络安全委员会，由称职的董事会成员监督，而今天这个比例不足10%。

趋势五：安全供应商合并

Gartner的《2020年首席信息安全官（CISO）效力调查》发现，78%的CISO在其网络安全供应商产品组合中至少有16种工具，12%的CISO至少有46种工具。组织中大量安全产品增加了复杂性、集成成本和人员配备要求。在Gartner最近的一项调查中，80%的IT组织表示它们计划在今后三年内合并供应商。

弗斯特布鲁克先生说：“CISO渴望合并他们要处理的众多安全产品和供应商。如果拥有较少的安全解决方案，就比较容易正确配置、响应警报，从而改善安全风险状况。然而，购买一种更广泛的平台从实施所需的成本和时间来看可能存在不足。我们建议关注长期的总体拥有成本（TCO），作为衡量成功的标准。”

趋势六：增强隐私的计算

增强隐私的计算技术正在兴起，该技术可以在数据使用时保护数据，而不是在数据静止或移动时保护，以确保安全的数据处理、共享、跨境传输和分析，即使在不受信任的环境下。这项技术越来越多地实施在欺诈分析、情报、数据共享、金融服务（比如反洗钱）、制药和医疗保健等领域。

Gartner预测，到2025年，50%的大型组织将采用增强隐私的计算，用于在不受信任的环境或多方数据分析使用场景中处理数据。

趋势七：泄密和攻击模拟

如今出现了泄密和攻击模拟（BAS）工具，可提供连续的防御态势评估；相比之下，渗透测试之类的年度积分评估提供的可见性很有限。当CISO将BAS纳为其常规安全评估的一部分时，可以帮助团队更有效地发现安全状况中的缺口，并更高效地确定安全计划的轻重缓急。

趋势八：管理机器身份

机器身份管理旨在建立和管理与其他实体（比如设备、应用程序、云服务或网关）交互的机器的身份信任。现在组织中的非人类实体越来越多，这意味着管理机器身份已成为安全策略的一个重要组成部分。

责任编辑：lq6