2023年3月17日- ID G00782545
写在前面:在这篇文章中,除了说明几个技术方向,Gartner关注了网络安全中“人”的角色。
网络安全问题的解决,逐渐从技术向人倾斜。这点有些像目前正在推动的安全运营,强调最后还是要人参与来解决问题。
既然人在网络安全中越来越重要,那就要加强人才留存,打造好的企业文化,关心人才成长,不管是技术管理者还是技术操作者。
安全策略的设计要考虑到人,不要过于生硬和僵化,而且,负责安全的CISO,也要学会用业务的语言和董事会沟通。
以前刚做安全的时候,总是觉得安全无法融入业务,一直在业务的边缘,但随着很多行业的数字化转型,IT本身就变成了业务,网络安全也算是和业务真正的融合起来,董事会成员也需要了解网络安全了。
不管从哪个角度,对网络安全的从业者,也算是一个好消息吧。但也意味着自身还是要不断学习,跟上技术和管理的步伐。网络安全从业者,也要更深的了解业务,学会从风险的角度考虑问题,向高层汇报。
概述
在今年的网络安全主要趋势中,继续提高对人自身这个因素的关注。安全和风险管理的领导者在设计和实施他们的网络安全计划时,必须重新考虑他们在技术、结构和以人为本这几个要素之间的投资平衡。
机会
安全领导者在实施控制措施时,可以从整体上看待日益碎片化的攻击面和脆弱的身份基础设施,从而提高数字生态系统的安全性。
通过仔细评估和整合厂商组合来简化供应链依赖,为安全和风险管理领导者提供机会,增强他们有效应对数字生态系统威胁的能力。
对安全架构采用模块化的方法有助于安全领导者实现“设计安全”。与此同时,主动采用安全运营模型以支持分布式的工作方式和信息风险决策,有助于安全领导者支持快速发展的业务成果,同时限制网络风险的扩大。
以人为本的控制设计和实施方法将减少由员工活动引起的安全故障。同样,利用以人为本的业务沟通和网络安全人才管理将有助于改善业务风险决策和留住网络安全人员。
建议
安全与风险管理领导者应该:
从端到端的攻击面视角,并在适当的情况下整合厂商组合,采用攻击者的思维方式,优先考虑网络风险缓解工作。
通过采用新的安全运营模式和架构方法,从而在设计上促进敏捷性和嵌入安全性,优化网络安全能力,使之符合新的分布式工作方式。
优先考虑并优化员工行为改善方面的投资,以提高和维持企业安全的有效性。
战略规划假设
到2026年,企业将通过持续的威胁暴露管理程序来考虑安全投资的优先级,入侵行为将减少三分之二。
到2027年,身份矩阵(identity fabric)免疫原则将阻止85%的新攻击,从而将入侵行为的财务影响减少80%。
到2026年,超过40%的组织,包括三分之二的中型企业,将依赖整合的平台来运行网络安全验证评估。
到2027年,75%的员工将获得、调整或创造IT可视化之外的技术,2022年为41%。
到2027年,超过50%的核心业务应用程序将使用需要新的安全范式的可组合架构打造。
到2027年,50%的大型企业CISO将采用以人为中心的安全设计实践,以尽可能减少网络安全引发的摩擦,并最大化控制措施。
到2026年,60%的组织将从外部招聘转向内部人才的“安静招聘”,应对系统性网络安全招聘挑战。
到2026年,70%的董事会将包括一名具有网络安全经验的成员。
报告内容
今年的Gartner网络安全主要趋势报告显示,在应对网络安全风险并维持有效的网络安全职能时,人们越来越认识到员工参与安全计划的重要性。日益分散的工作扩大了云的采用。反过来,这增加了对不断扩大的数字生态系统的端到端可见性和弹性供应链的依赖。此外,首席信息官正在改变他们的IT运营模式,以促进增强的业务敏捷性。监管环境不断变化,迫使董事会在管理网络安全风险方面发挥更积极的作用。虽然勒索软件支付正在下降,大规模勒索软件攻击和对身份系统的攻击仍在持续。在这些全球趋势下,领先的安全和风险管理领导者正在聚焦于下列措施:
关注人员对安全项目成功和可持续性的重要作用。
实施技术上的安全能力,在内部数字生态系统中,提供更大的可见性和响应能力。
重新构建安全功能的运营方式,在不降低安全的情况下实现敏捷性。
重新取得平衡:
网络安全控制的三个传统重点领域,人员、流程和技术之间历史上的不平衡终于得到了关注。长期以来,技术一直是安全领导者的主要关注点,然而证据表明,仅仅押宝在技术上,限制了网络安全风险降低工作的有效性。越来越多的人认识到,人对安全和风险结果以及程序可持续性的影响比以前认识到的要大得多。由于监管变化,董事会对网络安全的重视持续增长。安全领导者要求相关沟通要以受众为中心。以人为中心现在是有效的网络安全计划的重要基础。
响应式生态系统:
Gartner在《2022年网络安全主要趋势》中强调的不断扩大的针对身份系统的攻击面和威胁将持续到2023年。这些持续的网络安全风险给想要保持安全计划与业务同步的领导者带来了挑战。有必要将威胁评估的范围扩大到组织直接控制的环境之外,以包括日益关键和深度集成的供应链。因此,解决组织数字生态系统中发现的每一个威胁已不再可行。将持续的方法应用于威胁管理和网络安全验证,有助于推动以风险为中心的修复工作。这种方法增强了脆弱的身份系统的可观察性,当与自动修复元素相结合时,可以提高检测和响应能力,并建立更多的数字化免疫身份生态系统。这有助于改进组织的准备,增强以风险优先级为准的修复工作。
重组:
分布式技术工作(例如,业务技术人员)的增加,混合工作模型成为常态,加速的数字化转型正在响应不断变化的市场条件,促使组织转换其安全职能。领导者正在采取战略方法来整合厂商组合,以简化运营,并使网络安全主要领域的厂商合理化,因为他们的组织面临着越来越多同时来自经济和威胁环境的挑战。通过与其他平台和点解决方案进行更开放的集成来支持域内的安全平台整合,从而实现模块化的网络安全架构,以覆盖其不断扩大的攻击面。
网络安全和风险领导者寻求设计和实施可持续的网络安全计划,提供一个人员、流程和技术之间的有效平衡。所有2023年的趋势应该整体考虑,而不是作为一组完全不同的现象,分别处理。(见下图)
威胁暴露管理
作者:Jeremy D'Hoinne, Pete Shoard, Mitchell Schneider, Jonathan Nunez
概述:到2026年,组织将根据持续威胁暴露管理计划来对他们的安全投资优先级排序,将减少三分之二入侵。
描述:
现代企业的攻击面是复杂和碎片化的,这是不断发展的IT工作实践(例如使用SaaS)的结果。由于修复优先级清单不断增加和互相冲突,这造成了诊断疲劳。企业CISO意识到有必要改善他们的评估实践,以更好地了解他们面临的威胁,并解决他们在评估方面的差距。持续威胁暴露管理(continuous threat exposure management,CTEM)程序正在兴起。这是一种务实有效的系统方法,持续细化网络安全的优先事项。持续威胁暴露管理将传统的网络安全评估扩展到:
将持续威胁暴露管理迭代的范围与特定的业务风险和优先级保持一致。
无论是否存在补丁,解决所有漏洞。包括传统的、可打补丁的漏洞,但也包括与这些业务风险和优先级相关的更现代的、无法修复的威胁暴露。
通过攻击者的视角来验证企业暴露和修复的优先级。
将预期结果从战术和技术响应转向基于证据的安全优化,动员跨团队的支持。
趋势原因:
零日漏洞很少是入侵的主要原因。换句话说,如果组织在攻击者利用威胁之前修复其暴露,则可以防止入侵。然而,修复每个已知的漏洞在操作上是不可行的。
为了解决这个复杂的问题,CISO必须不断尝试发展他们的评估实践,以跟上组织的数字化速度和不断发展的工作实践。最近的攻击趋势强调需要评估合适的风险补偿方法,而不是通过打补丁来修补传统的漏洞,以适当减少企业威胁暴露。在试图减少企业面临威胁时,CISO必须不能仅仅评估技术漏洞。安全团队还必须考虑不可修复元素的风险暴露,例如人为错误、供应链依赖关系(SaaS平台和第三方应用程序)和/或安全控制的错误配置。这些因素促使人们越来越多地采用发现工具和流程,试图动态地、持续量化他们资产的分布。
然而,评估工具的普遍使用放大了问题,而不是解决了问题,目前的挑战是对最相关的修复行动进行优先级排序。
为了解决这些挑战,安全领导者必须以不同的方式处理问题,通过改变他们如何定义暴露评估,以及他们处理修复,强调适当补偿和部门间团队互动的重要性。网络安全领导者别无选择,只能改变他们定义暴露评估的方式,和动员所需的“修复”。
含义:
尽管许多企业都有某种漏洞管理程序,但它通常以技术为中心,并且在动员资源的能力方面受到限制,仅仅是简单的报告、优先级排序和半自动修复。建立一个持续威胁暴露管理程序应始于:
在发现之前关注相关范围:同时运行多个重点项目比一次性解决整个攻击面更有可能成功。
从攻击者的角度验证暴露。
通过打造跨团队关系更好地平衡战略动员和战术响应。
针对相同的威胁向量,将可修复和不可修复的问题结合起来,并设置相应的成功指标。
持续威胁暴露管理程序的结果将包括不同类型的“处理”,例如技术缓解,但是“修复”意味着建议的行动过程也必须通过标准流程,保证风险可接受,以及操作可行性。这一要求是全自动平台不太可能成为救世主的主要原因。
行动:
根据其与业务风险的一致性和要求利益相关者修复和优先级排序,选择每个持续威胁暴露管理周期范围。
利用攻击面管理和安全姿态验证等新兴领域解决威胁暴露问题。当成熟时,开始包括组织控制力较低的资产,例如SaaS应用程序、供应链合作伙伴和厂商依赖的数据。
在扩展漏洞管理程序时,要获得运营胜利的动力通常在于通过验证技术改进发现的优先级。
将持续威胁暴露管理范围与风险意识和管理程序相结合,以提供相关的以业务为导向的关注。
身份矩阵(identity fabric)免疫
作者:Henrique Teixeira, Michael Kelley, Erik Wahlstrom
概述:到2027年,身份矩阵免疫原理将阻止85%的新攻击,将入侵行为的财务影响降低80%。
描述:
在2022年,Gartner介绍了身份威胁检测和响应(identity threat detection and response,ITDR)的重要性,当保护身份结构免受现代网络攻击时,填补基础设施安全和身份访问管理(IAM)控制方面的空白。在攻击之前,ITDR假设(并在最好的情况下)采取了阻止措施。
然而,大多数组织中的身份基础设施太脆弱,无法抵御针对性攻击。在过去的12个月里,超过80%的组织都遭遇过身份信息泄露。脆弱性在很大程度上与身份结构中不完整、配置错误或脆弱的元素有关。正因为如此,大多数身份系统都不支持零信任或身份优先安全方法。
身份矩阵免疫将数字免疫系统的概念应用于身份系统。它不仅使用身份威胁检测和响应保护结构中现有的和新的身份访问管理(IAM)组件,而且还通过完成和正确配置来加强它。
数字免疫概念有助于在两个方面实现这种协调和更平衡的保护:
攻击前:通过专注于安全健康和安全态势管理的预防机制,以及身份矩阵的持续威胁暴露管理(CTEM)。它包括发现(通过可观察性)、配置、攻击面和合规管理及供应链安全。
攻击期间:使用检测和响应机制,加上自动修复元素和对站点可靠性工程的额外关注。
在身份结构中增加数字免疫特性的主要目标是尽量减少缺陷和故障,同时平衡在阻止及检测和响应方面的投资,攻击前和攻击期间提供保护。
趋势原因:
向身份优先安全的转变推动了对IAM基础设施的大量投资。然而,存在着一种不平衡。大多数组织都没有准备好身份系统来完成这样一个关键的功能:
IAM系统没有正确配置(例如,微软报告说,他们的Azure AD的78%客户端未启用多因素认证)
过多的特权是一个持续存在的问题(例如,大多数laaS用户比他们实际需要拥有更多的权利)。
在云身份提供商失败的情况下,没有自动的灾难恢复解决方案。所有现有的战略都是昂贵、复杂和耗时的。
供应链攻击呈上升趋势。虽然69%的组织已经投资于供应商风险管理技术以进行合规和审计,但只有29%的组织已经部署了供应链安全技术。
含义:
如果组织同心协力,将建立更具弹性的身份访问管理(IAM)系统:
修复漏洞(将身份矩阵中缺失的部分补充回来)
避免新的漏洞(通过正确配置和构建时就清除漏洞)
更好地检测和响应针对身份基础设施的攻击
如果不采取措施保护身份矩阵,身份优先的安全举措将会失败,因为它需要一致性、背景和连续性应用于身份。同样,不可靠且脆弱的身份基础设施无法保障零信任方案取得成功。
行动:
组织必须采取一种内聚的、平衡的方法来强化他们的身份访问管理(IAM)基础设施,同时使它不那么脆弱,更有弹性。例如:
战术:通过对高风险访问强制最低权限来修复当前的漏洞,删除休眠帐户和双因素认证抵御网络钓鱼。
战略:通过实施安全态势管理来避免新的漏洞。平衡在阻止和身份威胁检测和响应(ITDR)方面的投资,并通过评估IAM厂商的防脆弱能力,充分发挥你所拥有的潜力。对故障进行计划,并应用连续性管理和持续威胁暴露管理(CTEM)。
网络安全验证
作者:Jeremy D'Hoinne, Mitchell Schneider, Jonathan Nunez,Pete Shoard
概述:到2026年,超过40%的组织,包括三分之二的中型企业将会依靠统一的平台运行网络安全验证评估。
描述:
网络安全验证是技术、流程和工具的融合,用于验证潜在攻击者如何实际利用已发现的威胁暴露,以及防御系统和流程如何做出反应。蓝队和红队工具正在向高度定制化和灵活入侵的方向融合,以更有效地测试企业的防御—包括安全控制和监控工具的有效性和配置-更加有效。由此产生的洞察力使跨团队决策更容易,包括动员决策者分配相关的资源。
趋势原因:
即使安全团队领导了一个清晰规划的安全项目,他们仍然需要处理一长串的优先级处理。成熟的组织在触发所需的跨团队协作方法来纠正突出问题方面继续失败。网络安全验证评估攻击者成功的可能性,评估潜在的影响,并确定计划的响应是否如预期的那样工作。网络安全验证评估通常是限于合规驱动的、不频繁的和人为发起的渗透测试。
网络安全验证工具正在快速发展,自动化执行高度可重复和可预测的评估,实现一致和定期的基准攻击技术、安全控制和流程。网络安全验证的范围包括:
安全有效性:可以阻止和检测评估现有安全控制强度的红队活动,利用攻击模拟或半自动渗透测试。
安全一致性:自动化审计和定时审计,例如安全工具的配置分析或重复运行攻击场景。
事件响应效率:评估响应机制的及时性和有效性,通过测量时间来调查被测试的攻击场景。
用户准备情况:通常通过培训实现,例如用户意识或桌面及模拟练习。
网络安全验证平台可以嵌入或集成到下面提到的功能之一,以收集更多的看法,识别易受攻击的路径或提供整体风险态势的额外客观性:
外部攻击面管理(External attack surface management,EASM):EASM将继续作为一项功能。提供由外而内的视图,并支持攻击初始阶段的模拟。
安全态势管理(Security Posture Management,SPM)工具:显示攻击面,通常来自待测资产加固措施不够。
数字风险预防服务(Digital risk prevention services,DRPS):识别泄露的凭据、欺骗、域名沉洞和其他有关组织数字风险的情报。
然后,该过程的结果应该促进跨团队动员。为了支持这一点,聚合的网络安全验证工具为各种攻击场景输出可行性评分和/或攻击路径,基于可行性和潜在的影响,加权打分。
含义:
随着越来越多的工具可用,组织需要逐步扩展其网络安全验证实践。他们应该从较小的范围开始,以衡量所增加的验证实践,在修复和优化方面,提高了多少调动资源的能力。
网络安全验证实践发展迅速,平台整合已经开始发生。
入侵和攻击模拟(BAS)平台是执行可重复和一致性的可测量评估的首选工具,重新聚焦现有渗透测试范围。
渗透测试和红队见证了其自身的改进,PTaaS(渗透测试即服务)简化了管理任务,自动化渗透测试工具扩大了现有渗透测试/红队能力。
行动:
采用网络安全验证方法来增强您现有的工作流程并改善网络安全准备。
不止测试安全控制,还评估程序和流程的有效性。
范围验证,包括相关的威胁向量,以及攻击支点和横向移动的可能性。
网络安全平台整合(Cybersecurity Platform Consolidation)
作者:John Watts, Katell Thielemann, Henrique Teixeira, Frank Marsala
描述:
组织希望减少复杂性,简化操作,提高员工效率。厂商正在围绕一个或多个主要网络安全领域整合成平台,如身份和访问管理、网络安全、云安全、数据安全、工作空间安全、网络物理系统和安全运营。许多厂商正在将他们的产品转变为服务模式,而不是打包产品,这会导致更多的单一来源的基础设施服务。通过减少厂商数量,组织可以从提高员工效率、集成和更少产品的更多功能中获益。然而,随着组织减少厂商,就会出现集中风险、更高的定价和运营影响。它并没有消除整合厂商之间的集成需求。组织越来越关注安全厂商作为关键基础设施服务厂商的网络弹性,例如作为身份和网络安全。
趋势原因:
这种趋势是由需求和供给共同驱动的。组织希望降低复杂性,在2023年,厂商和他们的客户都面临潜在的“三重挤压”:经济压力、稀缺昂贵的人才和供应链挑战。
在需求侧,Gartner观察到组织的兴趣,想要在有意义的地方组合功能组件,但通过与其他领域集成来支持模块化安全。例如,安全服务边缘结合了以前用于SWG(安全web网关)和CASB(云访问安全代理)的分散解决方案。现在,一些身份服务在一个公共平台中结合了治理、特权访问和访问管理特性。网络物理系统(CPS)保护平台现在包括资产发现、资产目录、拓扑映射、漏洞管理和网络分段功能。
在供给侧,在过去几年中,资金的可用性和安全市场的增长导致了安全厂商前所未有的激增。目前市场上有数千家安全厂商,但2022年资金减少,并购交易增加。小型初创企业正面临越来越大的压力,对增长的需求被削减成本、产生现金流和最大化利润的需求所取代,它们不得不裁员。
随着公开募股的放缓和私募股权公司继续收购厂商进行重组,小型公司被收购并加入大型产品组合厂商的趋势正在增加。此外,更大的厂商正在通过向他们后端和前端服务添加功能来完善平台。
含义:
厂商整合带来了更好的集成和更多可用于跨环境部署的功能,以应对组织不断扩大的攻击面。员工可以通过管理更少的集成来提高效率,并通过后端数据源从改进的分析中获益,这些数据源被自动地收集到运营平台中。
然而,由于厂商锁定,合并可能导致更高的成本,收购更多产品比组织可以利用的重叠功能更多。创业公司的减少可能导致针对新兴网络安全威胁的创新减少。在关键操作安全功能上对单个厂商的依赖程度越高,就会导致中断事件造成运营停摆的风险越高。
行动:
建立持续统计安全控制的能力,以了解差距和重复,它们的存在是为了减少合并平台中的冗余。
更喜欢那些致力于广泛的合作伙伴生态系统来提供功能的平台厂商,在可能不满足需求的领域中保证集成开箱即用。
根据需求采购或保留较小的单点解决方案厂商,但要制定计划和合同规定应对卖方被收购的情形。
随着网络安全行业面临高通胀的“三重挤压”,厂商竞争减少和工程及其他人才的短缺,为平台厂商产品组合增加成本做好计划。
转变网络安全运营模式,支持价值创造
作者:William Candrick, Christopher Mixter, Bernard Woo, Chiara Girardi
概述:从2022年的41%,到2027年,75%的员工将获得、调整或创造IT可视化之外的技术
描述:
技术的获取、创建和交付正在从核心IT职能转移到业务线、公司职能、融合团队甚至个人员工。事实上,2022年41%员工在执行技术工作,接下来的五年里这一趋势呈指数增长。
这一趋势直接影响了CISO。例如,近四分之三的网络安全领导者发现,仅在过去12个月中,风险决策权和问责制就发生了变化。有一半领导者中认为,推动企业网络安全风险所属权的需求是促成这种变化的主要因素。
Gartner正在追踪网络安全运营模式的各种变化,包括:
网络安全决策权和问责制的变化。
新的网络安全团队、职能和流程(如DevSecOps、云安全)反映不断变化的商业环境。
策略变更促进企业风险决策的业务归属权-例如新技术的覆盖、策略整合、增加策略灵活性,与员工共同创建策略和策略自动化。
趋势原因:
2022年,商业领袖们表达了他们对更多分布式技术工作的偏好。67%的CEO希望业务部门执行更多的技术工作,73%的IT行业以外的管理者希望他们的团队中有更多的技术人员。
事实上,企业领导人现在普遍承认,网络安全风险是需要管理的首要业务风险,而不是需要解决的技术问题。例如,88%的董事会董事认为网络安全风险主要是一种业务风险,而不是技术风险,这一比例从2016年的略高于一半,上升到2021年的88%。支持和推动业务产出是网络安全的核心,仍是最重要的挑战。
分布式技术和分析工作成倍地扩大了网络安全风险决策的数量、种类和速度。这种扩展远远超出了传统网络安全运营模式所能支持的范围。例如,不能在所有需要做出风险决策的地方都进行实际的风险评估操作、设定停止门、人工咨询。
为了满足领导层的期望,网络安全运营模式必须转变为支持和加速业务发展,同时又不会给业务和IT带来不必要的网络安全风险或摩擦。
含义:
CISO必须改变网络安全的运营模式。每个组成部分必须从根本上改变,方便地集成到如何在本地完成工作。考虑以下几点:
网络安全正变得以人为中心(而不是以机器为中心)。安全结果中最重要的因素是人,而不是技术。很大一部分员工将成为业务技术人员,这意味着网络安全风险决策越来越多在网络安全之外做出。因此,网络安全必须超越技术和自动化这个层面,深入参与并影响人们的决策。
你的攻击面只会扩大。“缩小攻击面”的概念与现实不符。业务技术人员的指数级增长意味着随着更多的人将漏洞带入业务,您的攻击面也将扩大。因此,网络安全必须支持,而不是反对分布式决策,并采用新的思维方式,例如身份优先而不是边界优先的安全。
网络安全战场不再扩大。数字资产基础的规模和复杂性已经变得如此重要,以至于网络安全功能无法假装实现正在保护每件事,更不用说真正做到这一点了。
CISO的角色必须从根本上改变。只有16%的CISO认为他们自己掌控着控制措施,低于2021年的44%;37%的CISO现在是风险决策推动者,上一次统计结果是24%。这鼓励CISO尝试各种不同的方法来解决集中和独立的安全决策。
行动:
**将安全作为核心功能,而不是要求:**网络安全风险是员工必须平衡的众多风险之一,包括财务风险、声誉风险、竞争风险和法律风险等。根据工作完成的方式和地点寻找交付安全的新方法。
**授权员工独立做出风险决策。**超越传统的安全意识培训,促进大规模的独立网络判断。这需要建立决策能力,并提供工具和剧本,以便业务技术人员能够独立做出风险决策。
**建立支持网络判断的治理结构。**不能孤立地做出风险决策。实现具有代表性的企业安全指导委员会,明确定义风险接受、策略豁免和冲突解决流程。
**将网络安全与商业价值联系起来。**针对业务成果和优先级,而不是运营活动,来衡量、评估和报告网络安全的成功。
业务模块化需要模块化安全
作者:Wam Voster
概述:到2027年,超过50%的核心业务应用程序将使用需要新的安全范式的模块化体系构建。
描述:
为了保护模块化的业务,模块化安全是一种方法,在这种方法中,网络安全控制被集成到架构模式中,然后在可组合技术实施中实现模块化应用。许多组织依靠传统的单体系统(如ERP)向业务交付功能,这些系统的设计是为了应对以前的挑战。要想使组织能够对快速的业务变化做出反应,它需要在自身的应用程序中构建模块化功能。
这适用于业务流程的所有方面,无论是产品、资产、库存订单还是任何其他流程。这意味着组织应该由可互换的构件组成。这些构件通常被称为打包业务功能(PBC)或元素。模块化组织的主要优点是:
更快的创新。
通过模块化提高敏捷性。
业务弹性。
平台生态系统。
为了支持这一点,模块化的组织需要依赖模块化的架构和模块化的应用程序。模块化的应用程序是由这些模块化组件构建的应用程序。这些模块化组件可以通过定义良好且功能强大的API相互交互,并组合在一起交付业务功能。像OAuth这样的授权协议,被Amazon、Google、Facebook、Microsoft和Twitter使用,在不透露密码的情况下,可代表资源所有者,推动访问这些模块化组件资源。
趋势原因:
随着模块化业务部署的增加,构建数字功能的模块化方法继续成为趋势。模块化是一种新兴的策略,应对动态的市场条件,提高业务敏捷响应能力。创建这种模块化能力所涉及的角色在《快速回答:治理模块化应用程序中如何组织角色》一文中有详细描述。在那份说明中,四个C被介绍为:创造者、策划者、编排者和消费者。创造者创造新组件,策划者创造组件目录,并可能创建一个市场(类似于“应用商店”的“组件商店”)。编排者选择一些组件并将它们串在一起以创建业务应用程序。消费者是组合应用程序的(内部和外部)用户。
CISO应该意识到,使用模块化组件创建应用程序将引入未发现的依赖关系。然而,更重要的是,它将打开一扇门,允许未经批准的外部服务访问打开这扇门的用户可以访问的任何内容。传统的安全方法将无法检测到这些问题,更不用在模块化级别追踪问题的根本原因了。这会很常见,因为组成应用程序的块实际上可能是云原生块。
此外,虽然解决方案的每个组件都可能是安全的,但组件之间的交互,以及它们之间交换的数据可能会带来新的风险。因此,安全性工作必须包括以API为中心的方法,同时还要理解整个应用程序上下文。这意味着仅仅监视用户行为是不够的,检测意外的API行为同样重要。最重要的是运行模块化应用程序的基础设施也需要包括在内。
含义:
对于CISO来说,关键的好处是,这是一个通过设计,嵌入隐私和安全性的重要机会,并创建基于组件的、可重用的安全控制对象,这些对象链接到安全架构参考模式。此外,一旦组件商店有大量经过安全性审查的组件,编排者和消费者就可以更快地部署新的应用程序或新的业务功能,因为安全性已经“左移”。新业务功能的交付速度更快,同时也更安全。
行动:
确定是否有任何与模块化架构相关的计划正在您的组织中进行。
确保CISO作为“第五个C”被包括在流程中,就像创造者,策划者,编排者和消费者。
创建一个(内部)流程来评估、测试和审查构建模块和API,以确保模块化业务应用程序在设计上是安全的。
认识到,类似于今天的开源库,使用外部组件和内部组件暴露到外部世界,产生了一种新的威胁方式。
以人为本的安全设计
作者:Richard addistt, Christine Lee, Tom Scholtz
概述:到2027年,50%的大型企业CISO将采用以人为中心的安全设计实践,尽量减少网络安全引起的摩擦和最大限度地采用控制。
描述:
以人为中心的安全设计(Human-centric security design,HCSD)在整个控制管理生命周期中优先考虑员工体验,而不仅仅是技术方面的考虑。利用行为科学、用户体验(user-exprience,UX)和相关学科,以人为中心的安全设计专门帮助降低导致不安全员工行为的最大原因之一:网络安全引发的控制摩擦,不管是真实的或感知的。以人为中心的安全设计的例子包括使用行为和用户体验原则(例如,直观性,易用性)来控制设计,与员工共同创建安全控制,并提供风险适当的控制灵活性,以便个人有多种方式在不损害业务目标的情况下实现安全的结果。
趋势原因:
传统的安全意识计划未能减少的员工的不安全行为。Gartner的《2022年安全行为原因调查》发现,在过去12个月里,69%的员工故意忽略其组织的网络安全指导。此外,超过90%受访者承认他们的行为不安全,深知他们的行为会增加组织的网络安全风险水平,但还是这样做了。
如果员工意识到网络安全风险,为什么他们仍然我行我素?Gartner的研究表明,如果有助他们或他们的团队实现业务目标,74%的员工会绕过安全控制。这就不足为奇,员工获得报酬是为了交付成果,而任何感知到的或实际的网络安全引发的摩擦都会影响他们有效率和/或有效的实现目标。
含义:
希望首次利用以人为中心的安全设计的网络安全团队需要为新的思维方式和运营方式做好准备:
**改变他们的思维方式。**网络安全专业人员接受过培训,从技术方面和操作方面出发来考虑问题。它需要用户体验者的积极参与,以及围绕员工体验的新指标,以鼓励向以人为中心的安全设计的转变。
**获取非传统能力的认知。**以人为中心的安全设计可能需要学习用户体验专业知识,这通常可以从内部获得。用户体验部门从人类心理学、认知神经科学、产品设计、新闻学和相关领域招聘人才在组织中变得司空见惯。
已有案例表明,以人为中心的安全设计技术的有效实施可以增加期望的行为,例如:
报告可疑事件和邮件
不安装未经批准的第三方软件
主动参与网络安全计划
以人为中心的安全设计还有助于引入新的关键安全能力,要求改变员工行为时,尽可能减少变革的阻力。例如,整个企业范围引入新的身份验证方法时经常会引入摩擦。从一开始就利用以人为中心的安全设计技术的组织,员工参与和控制的落实有很大改善。
上述取得的积极成果证明了邀请员工应参与安全控制的设计和实施的价值和重要性:
在有意合作的情况下,利用基于同理心的参与。
帮助提供更灵活的安全体验。
道德方面的考虑,以确保安全技术满足可访问性要求,并且不会通过操纵技术(例如,在员工应该考虑的时候使用缺省值)或注意力捕获(例如,无端推送通知)侵蚀员工的福祉或信任。
行动:
回顾过去的网络安全事件、控制违规和异常请求,以帮助确定网络安全摩擦的主要来源。考虑在哪些方面可以通过重新设计更多以人为中心的控制来减轻员工的负担,甚至取消没有有效降低风险却又增加摩擦的控制。
评估现有的安全路线图。确定可能导致用户体验变化的计划,并与受影响的员工一起利用以人为中心的设计实践,邀请受影响用户群体的员工共同设计,确保网络安全控制从一开始就考虑到员工的体验。
提高安全人员的技能,使他们能够提供更多以同理心为导向、以结果为中心的用户体验实践。通过补充技术和运营网络安全控制指标来评估这些工作的成功,用结果驱动指标,帮助衡量员工体验。
改善人员管理,确保安全项目的可持续性
作者:Alex Michaels,Deepti Gopal
概述:到2026年,60%的组织将从外部招聘转向内部人才的“安静招聘”,应对系统性网络安全招聘挑战。
描述:
鉴于全球人才持续短缺,网络安全领导者正在超越传统的人力结构,将重点转向以人为本的人才管理策略,以吸引和留住人才。优先考虑这些新的创新策略的CISO已经看到了他们在职能和技术成熟度方面的改进。一些最具影响力的网络安全人才管理策略包括内部招聘、定制职业路线,根据员工偏好,增加激励,提出不同的人才价值提案。
趋势原因:
安全专家市场和吸引力驱动:Gartner研究显示,几乎每个职位对安全专家的需求都远远超过供给。考虑到这一点,要认识到留住那些已经是你团队成员的重要性。当前的就业市场给了员工更多的权力和知识来寻找符合他们个人喜好的机会。传统上,网络安全领导者严重依赖于他们的人力计划,这些计划是为了满足他们的时间目标而设计的。对于这些领导者来说,通过考虑团队成员的偏好和吸引力驱动至关重要,而这正是他们可能缺乏的,如薪酬、发展机会和未来的职业规划。这些明显的改进领域来自于包括网络安全职业在内的技术工人市场研究。
CISO的效率:网络安全领导者传统上非常注重改进技术和流程,以更好支持其计划,很少关注推动这些变化的人员。为了提高效率,除了继续关注技术和流程改进外,网络安全领导者还必须优先考虑支持以人为本的策略,在战略上进行人力规划。这些策略不应与常见的人员管理做法混为一谈。更确切地说,他们关注的是那些已经被证明可行、提高人才吸引和留存的实践。
网络安全的地位提升:Gartner对2022年董事会的调查显示,88%的董事会将网络安全视为一项业务风险。此外,54%的人定期将网络安全列入会议议程。安全团队已经成为大多数组织的重要组成部分。然而,在重新定义网络安全员工工作方面,提高对其的关注,仍是一个挑战。
含义:
网络安全领导者将人员管理策略纳入其战略人力计划必须考虑以下挑战和机遇:
挑战:
大多数人力资源部门不够“精通网络”,无法为网络安全领导者提供有意义的支持。人力资源部门经常将IT和网络安全视为同一件事,即使在薪酬方面,入门级网络安全人员和中级IT人员相符。
在可操作性和可度量方面,难以创建与竞争对手有差异化的员工价值主张(employee value proposition,EVP)。虽然薪酬是其中一个主要吸引因素,它并不是影响主动变化的唯一杠杆。
在僵化的组织文化中对抗人力资源流程的变更。
机遇:
员工(包括新员工)的参与度和努力度都有所提高。
向员工展示公司对他们个人的重视。
降低年度员工流动率。
通过强大的执行副总裁吸引顶尖人才。
支持多元化、公平和包容倡议。
行动:
为了留住和吸引顶尖专家,确保网络安全职位的成功,CISO采取以下行动至关重要:
至少进行安全人力规划,以确定与长期组织目标相对应的人才缺口和能力,创建量身定制的培训和专业发展,培养工作所需的技能、能力和知识,保证当前和未来的领导者在他们的角色中脱颖而出,并为组织的成功做出贡献。
通过利用人才管理生命周期,制定以人为本的包容性网络安全计划。网络安全领导者应该与人力资源密切合作,重新定义你的网络安全执行副总裁,以及优先与直接下属建立牢固的关系。这包括积极推动认可和赞赏每个员工在组织中的贡献。从把员工视为个体开始,而不仅仅是作为一种资源。
将网络安全人才战略列为提高网络安全领导者效率的五大举措之一。这意味着网络安全领导者要重新思考员工管理的方式。可清晰度量,证明了留存率和吸引力的增长。
董事会扩大其网络安全监管能力
作者:Lisa Neubauer, Paul Furtado, Michael Kranawetter
概述:到2026年,70%的董事会将包括一名具有网络安全经验的成员。
描述:
董事会越来越关注网络安全,这是由明确的董事级网络安全问责制趋势所驱动的,这包括董事会成员在其治理和监督活动中增强责任。这一趋势将要求董事会具备更多的网络安全专业知识。我们的2022年董事会调查显示,目前只有50%的董事会配备了网络安全知识或经验的人士。
网络安全领导者需要向董事会提供适当且有意义的报告,以证明他们了解网络安全计划对企业实现其目的和目标能力方面的影响。
最有效的网络安全领导者将以技术为重点的报告转变关注风险管理。他们确保持续改进报告流程和程序,以验证信息的相关性和准确性。他们还确保适当地使用可视化和图表,使复杂的信息更容易理解,从而推动明智的决策,并且明确需要在何时何地做出相关决策。网络安全领导者必须专注于提供信息丰富、可操作且与业务结果一致的网络安全报告。
趋势原因:
Gartner每年都会对数百个网络安全委员会的报告进行评估。我们发现,大多数组织向董事会报告的内容并没有向董事会提供适当的信息,执行进行适当的监督和/或在今天的环境中推动决策。
例如,尽管网络安全入侵和监管变化不断增加,但接受调查的非执行董事会表示,通过扩大产品线实现额外增长,或出于长期经济不确定性影响业务,他们愿意接受更大的风险。
为了让网络安全领导者像其他高管一样被视为业务合作伙伴,网络安全领导者需要确保董事会对企业风险偏好的定义。CISO还必须善于展示网络安全计划如何防止不利事件的发生,以及网络安全如何提高企业有效承担风险的能力。
意义:
网络安全领导者必须过渡到平衡的报告方法,以展示网络安全计划如何支持组织实现其目标和目的。这可以通过创建网络安全战略来实现。这样做将为网络安全领导者提供向董事会有效沟通网络安全风险和网络安全计划的价值的能力,以及:
控制措施方面的适当投资
影响和推动安全行为及文化
提高个人效率
确保合理的预算。
例如,董事会并不关心补丁部署率。他们真正关心的是机密信息泄露或潜在运营中断导致关键系统暴露的时间,这些都与他们最关心的三个方面有关:收入、成本和风险。用这样的语言交流:“我们已经暴露在危险之中,而且还需要100万美元。让我们回到一个舒适的水平。”
行动:
为董事会审查当前的网络安全报告,并评估其是否:
将网络安全战略与组织的业务目标联系起来。
在组织实现目标过程中,强调潜在的网络安全风险和机会。
根据定义的风险态度和容忍水平,使用各种机制监控网络安全风险的变化。
在附录中包含支持性文档,以供董事会成员了解所提交项目的更详细信息。这可以包括之前展示的关键性能指标(kpi) 仪表板或更关注运营的指标。
提供机会澄清常见的领导误解,其中两个是:
“网络风险是网络安全的问题”变为“网络安全风险是业务风险”
“安全是速度的拦路虎”,到“安全推动敏捷和保护项目”
鼓励董事会积极参与网络安全决策,并为董事会采取的行动提供建议,包括分配预算和资源。
(完)
