當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

Gartner發(fā)布2023網(wǎng)絡(luò)安全9大最新趨勢(shì),安全驗(yàn)證值得關(guān)注

 2023-04-21 17:39  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

4月12日,Gartner發(fā)布了2023年9大主要網(wǎng)絡(luò)安全趨勢(shì),重新關(guān)注人為因素。Gartner提出提出安全和風(fēng)險(xiǎn)管理(SRM)領(lǐng)導(dǎo)者在設(shè)計(jì)和實(shí)施網(wǎng)絡(luò)安全計(jì)劃時(shí),必須重新考慮他們?cè)诩夹g(shù)、架構(gòu)和以人為本要素之間的投資平衡。

Gartner 高級(jí)總監(jiān)兼分析師Richard Addiscott表示:“以人為本的網(wǎng)絡(luò)安全方法對(duì)于減少安全事故至關(guān)重要。關(guān)注安全控制手段設(shè)計(jì)和實(shí)施人員,以及通過(guò)業(yè)務(wù)通信和網(wǎng)絡(luò)安全人才管理,將有助于改善業(yè)務(wù)風(fēng)險(xiǎn)決策和網(wǎng)絡(luò)安全員工的穩(wěn)定。”

為解決網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并維持有效的網(wǎng)絡(luò)安全計(jì)劃,SRM 領(lǐng)導(dǎo)者必須關(guān)注三個(gè)關(guān)鍵領(lǐng)域:

(1)人員對(duì)于安全計(jì)劃的成功和可持續(xù)性的重要作用;

(2)技術(shù)安全能力,在整個(gè)組織的數(shù)字生態(tài)系統(tǒng)中提供更大的可見(jiàn)性和響應(yīng)能力;

(3)重組安全功能的運(yùn)作方式,以在不損害安全性的情況下實(shí)現(xiàn)敏捷性。

核心建議

Gartner在報(bào)告首頁(yè)為SRM領(lǐng)導(dǎo)者提出三點(diǎn)建議:

1)采用攻擊者的思維方式,通過(guò)對(duì)攻擊面采取端到端的排查來(lái)確定網(wǎng)絡(luò)風(fēng)險(xiǎn)緩解工作的優(yōu)先級(jí),并在適當(dāng)情況下調(diào)整供應(yīng)商產(chǎn)品組合。

2)通過(guò)采用新的安全運(yùn)營(yíng)模型和架構(gòu)方法,優(yōu)化網(wǎng)絡(luò)安全能力與新的分布式工作方式的一致性,以提高敏捷性并在設(shè)計(jì)時(shí)嵌入安全。

3)優(yōu)先考慮并優(yōu)化對(duì)員工行為改進(jìn)的投資,以增強(qiáng)和維持企業(yè)安全的有效性。

Gartner將9大安全趨勢(shì)分為響應(yīng)性生態(tài)系統(tǒng)、重組途徑以及再平衡措施三類(lèi),通過(guò)這些趨勢(shì)的組合形成可持續(xù)的平衡性的網(wǎng)絡(luò)安全計(jì)劃。

重點(diǎn)解讀

1.安全驗(yàn)證首次作為安全趨勢(shì)出現(xiàn)

“到2026年,超過(guò)40%的組織(包括三分之二的中型企業(yè))將依靠整合平臺(tái)來(lái)運(yùn)行安全驗(yàn)證評(píng)估。”

對(duì)比近幾年Gartner網(wǎng)絡(luò)安全趨勢(shì),安全驗(yàn)證在2023年的報(bào)告中首次出現(xiàn)。

2021年Gartner在安全趨勢(shì)中提出入侵和攻擊模擬(BAS),在本次報(bào)告中,Gartner將BAS作為一項(xiàng)驗(yàn)證工具囊括在安全驗(yàn)證這一整體趨勢(shì)下。這與國(guó)內(nèi)新興安全驗(yàn)證廠商塞訊驗(yàn)證的理念不謀而合,塞訊驗(yàn)證自2021年就在國(guó)內(nèi)率先提出安全驗(yàn)證理念,前瞻性地將BAS技術(shù)進(jìn)行擴(kuò)展,向安全驗(yàn)證演進(jìn)。

Gartner定義安全驗(yàn)證:

安全驗(yàn)證是技術(shù)、流程和工具的融合,用于驗(yàn)證潛在攻擊者如何利用已識(shí)別的威脅暴露,以及安全防御體系和流程的實(shí)際應(yīng)對(duì)情況。藍(lán)隊(duì)和紅隊(duì)工具正朝著高度定制和靈活入侵的方向融合,以更有效地測(cè)試企業(yè)的防御能力,包括安全控制手段和監(jiān)控工具的有效性和配置。由此產(chǎn)生的驗(yàn)證結(jié)果能夠讓跨團(tuán)隊(duì)決策更輕松,也幫助組織決策者分配相關(guān)資源。

安全驗(yàn)證為什么成為最新趨勢(shì)?

即使是領(lǐng)導(dǎo)一個(gè)有明確安全計(jì)劃的安全團(tuán)隊(duì),也必須優(yōu)先處理一長(zhǎng)串問(wèn)題。成熟的組織仍然無(wú)法找到一個(gè)有效的跨團(tuán)隊(duì)協(xié)作方法來(lái)補(bǔ)救突出問(wèn)題。安全驗(yàn)證則可以評(píng)估攻擊者成功的可能性,評(píng)估潛在的影響,并確定目標(biāo)響應(yīng)流程是否按照預(yù)期運(yùn)行。

安全驗(yàn)證工具正在迅速發(fā)展,實(shí)現(xiàn)評(píng)估的高度可重復(fù)和可預(yù)測(cè)方面的自動(dòng)化,從而實(shí)現(xiàn)攻擊技術(shù)、安全控制手段和流程的一致性,確立常規(guī)標(biāo)準(zhǔn)。

2.持續(xù)威脅暴露管理(CTEM)代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)安全評(píng)估

“到2026年,基于CTEM計(jì)劃優(yōu)先進(jìn)行安全投資的組織將減少三分之二的違規(guī)行為。”

現(xiàn)代企業(yè)的攻擊面復(fù)雜而分散,傳統(tǒng)的網(wǎng)絡(luò)安全評(píng)估往往聚焦于發(fā)現(xiàn)和修復(fù)漏洞,對(duì)人為錯(cuò)誤、供應(yīng)鏈依賴性(SaaS平臺(tái)和第三方應(yīng)用程序)以及安全措施的錯(cuò)誤配置這類(lèi)風(fēng)險(xiǎn)暴露卻束手無(wú)策。

CTEM作為一項(xiàng)務(wù)實(shí)有效的系統(tǒng)方法,可以不斷完善網(wǎng)絡(luò)安全優(yōu)化優(yōu)先級(jí)。CTEM將傳統(tǒng)的網(wǎng)絡(luò)安全評(píng)估擴(kuò)展到以下幾方面:

1)使CTEM迭代的范圍與特定的業(yè)務(wù)風(fēng)險(xiǎn)和優(yōu)先級(jí)保持一致。

2)解決所有漏洞,無(wú)論是否存在補(bǔ)丁。這包括傳統(tǒng)的、可修補(bǔ)的漏洞,但也包括與這些業(yè)務(wù)風(fēng)險(xiǎn)和優(yōu)先級(jí)相關(guān)的更現(xiàn)代的、不可修補(bǔ)的威脅暴露。

3)通過(guò)攻擊者的視角進(jìn)行權(quán)衡來(lái)驗(yàn)證企業(yè)暴露和補(bǔ)救優(yōu)先級(jí)。

4)將預(yù)期結(jié)果從戰(zhàn)術(shù)和技術(shù)響應(yīng)轉(zhuǎn)變?yōu)榛谧C據(jù)的安全優(yōu)化,并得到改進(jìn)的跨團(tuán)隊(duì)支持。

Gartner將CTEM與安全驗(yàn)證都劃分在響應(yīng)性生態(tài)系統(tǒng)這一類(lèi)別中,即認(rèn)為趨勢(shì)之間有著一定的共性,共同作用于對(duì)威脅的敏捷響應(yīng)。因此可以看到,CTEM也包含了通過(guò)攻擊者視角來(lái)驗(yàn)證企業(yè)威脅暴露和補(bǔ)救的優(yōu)先級(jí)這一舉措,與安全驗(yàn)證的理念如出一轍。

3.新的趨勢(shì)對(duì)CISO提出了新的要求

“CISO必須審查過(guò)去的網(wǎng)絡(luò)安全事件、安全控制手段的違規(guī)配置和例外的請(qǐng)求,以確定網(wǎng)絡(luò)安全引發(fā)的摩擦的主要源頭,并確定在哪里可以通過(guò)更以人為中心的防御手段的重新設(shè)計(jì)來(lái)減輕員工的負(fù)擔(dān),或者取消那些增加摩擦并對(duì)顯著降低風(fēng)險(xiǎn)的安全控制措施。”

“CISO必須修改其網(wǎng)絡(luò)安全的運(yùn)營(yíng)模式,以整合工作的完成方式。”

“為了滿足領(lǐng)導(dǎo)層的期望,網(wǎng)絡(luò)安全運(yùn)營(yíng)模式必須轉(zhuǎn)型以支持和加速業(yè)務(wù)成果,并且不給業(yè)務(wù)和IT帶來(lái)不必要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或摩擦”。

SRM領(lǐng)導(dǎo)者必須鼓勵(lì)董事會(huì)積極參與網(wǎng)絡(luò)安全決策,擔(dān)任戰(zhàn)略顧問(wèn),為董事會(huì)采取的行動(dòng)提供建議,包括安全預(yù)算和資源的分配。

Gartner的報(bào)告中多次用到了“CISO必須……”之類(lèi)強(qiáng)調(diào)性的語(yǔ)句,無(wú)論是出于“以人為中心的安全設(shè)計(jì)”,還是從“轉(zhuǎn)變網(wǎng)絡(luò)安全運(yùn)營(yíng)模式以支持價(jià)值創(chuàng)造”這一趨勢(shì)出發(fā),亦或是出于董事會(huì)對(duì)網(wǎng)絡(luò)安全的日益關(guān)注,必須承認(rèn),組織期望CISO在組織的價(jià)值創(chuàng)造中承擔(dān)更艱巨的任務(wù),甚至已經(jīng)為CISO設(shè)定了一個(gè)成功的標(biāo)準(zhǔn)。

這些“必須”既是組織對(duì)CISO的期望,也是塞訊驗(yàn)證的使命所在。塞訊安全度量驗(yàn)證平臺(tái)為CISO提供決策所需的數(shù)據(jù)支撐,提供管理層視角的可視量化數(shù)據(jù),幫助CISO定位安全防御措施的不足之處,優(yōu)化預(yù)算和資源配置。

Gartner年度安全趨勢(shì)作為行業(yè)風(fēng)向標(biāo),對(duì)安全行業(yè)有著重要的指引意義。報(bào)告中所提出的多項(xiàng)趨勢(shì),以及Gartner所強(qiáng)調(diào)的“攻擊者視角”、“安全計(jì)劃的可持續(xù)性和平衡性”“技術(shù)安全能力提供的可見(jiàn)性和響應(yīng)能力”等關(guān)鍵詞,都與塞訊驗(yàn)證的理念高度一致。塞訊驗(yàn)證憑借其前瞻性的視角和業(yè)內(nèi)突出的技術(shù)水平,已經(jīng)為各行業(yè)多家頭部企業(yè)提供了安全驗(yàn)證解決方案,幫助企業(yè)安全建設(shè)提質(zhì)增效。

(掃碼閱讀完整版報(bào)告)

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開(kāi)始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開(kāi)調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書(shū)/憑據(jù)釣魚(yú)相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專(zhuān)業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門(mén)排行

信息推薦