2023年(nián)網絡安全的主要趨勢
發布時間:
2023-04-23
來(lái)源:
根據調研機(jī)構Gartner公司的研究,企業的安全和風(fēng)險管理(lǐ)領導者在創建和實施符合行業趨勢的網絡安全計(jì)劃時,必須重新考慮在網絡安全技術(shù)和以人(rén)爲本之間的投資平衡。
研究表明,企業的安全領導者必須以人(rén)爲本來(lái)建立有效的網絡安全計(jì)劃。
根據調研機(jī)構Gartner公司的研究,企業的安全和風(fēng)險管理(lǐ)領導者在創建和實施符合行業趨勢的網絡安全計(jì)劃時,必須重新考慮在網絡安全技術(shù)和以人(rén)爲本之間的投資平衡。
Gartner公司高級總監分(fēn)析師(shī)Richard Addiscott表示:“以人(rén)爲本的網絡安全方法對于減少網絡安全事(shì)件(jiàn)至關重要。專注于控制設計(jì)和實施中的人(rén)員(yuán),以及通過業務溝通和管理(lǐ)網絡安全人(rén)才,将有助于改善業務風(fēng)險決策和網絡安全人(rén)員(yuán)的留任。”
爲了應對網絡安全挑戰并維持有效的網絡安全計(jì)劃,安全和風(fēng)險管理(lǐ)領導者必須關注三個關鍵領域:(1)人(rén)員(yuán)在安全計(jì)劃成功和可(kě)持續性方面的重要作(zuò)用;(2)技術(shù)安全能力,在企業的數字生(shēng)态系統中提供更高的可(kě)見(jiàn)性和響應性;(3)重組安全功能的運作(zuò)方式,在不損害安全性的情況下實現靈活性。
以下九個趨勢将在這三個關鍵領域産生(shēng)廣泛影(yǐng)響:
趨勢1:以人(rén)爲本的安全設計(jì)
以人(rén)爲本的安全設計(jì)優先考慮員(yuán)工(gōng)體(tǐ)驗在控制管理(lǐ)生(shēng)命周期中的作(zuò)用。到2027年(nián),50%的大(dà)型企業首席信息安全官将采用以人(rén)爲本的安全設計(jì)實踐,以最大(dà)限度地減少網絡安全引起的摩擦,并最大(dà)限度地提高控制采用率。
Addiscott說(shuō),“傳統的網絡安全意識項目未能減少員(yuán)工(gōng)的不安全行爲,首席信息安全官必須審查過去(qù)的網絡安全事(shì)件(jiàn),以确定網絡安全摩擦的主要來(lái)源,并确定他(tā)們可(kě)以在哪些方面通過以人(rén)爲本的控制來(lái)減輕員(yuán)工(gōng)的負擔,或者取消那些增加摩擦卻沒有有效降低風(fēng)險的控制。”
趨勢2:爲安全項目的可(kě)持續性加強人(rén)員(yuán)管理(lǐ)
傳統上,網絡安全領導者專注于改進支持他(tā)們安全項目的技術(shù)和流程,很少關注創造這些變化的人(rén)員(yuán)。采用以人(rén)爲本的人(rén)才管理(lǐ)方法來(lái)吸引和留住人(rén)才的首席信息安全官在功能和技術(shù)成熟度方面都(dōu)有所提高。Gartner公司預測,到2026年(nián),60%的企業将從(cóng)外部招聘轉向内部人(rén)才的招聘,以應對系統性的網絡安全和招聘挑戰。
趨勢3:轉變網絡安全運營模式,支持價值創造
技術(shù)正在從(cóng)中心IT功能向業務線、企業功能、融合團隊和個人(rén)員(yuán)工(gōng)轉移。Gartner公司的一項調查發現,41%的員(yuán)工(gōng)從(cóng)事(shì)某種技術(shù)工(gōng)作(zuò),這一趨勢預計(jì)将在未來(lái)五年(nián)内繼續增長。
Addiscott說(shuō),“企業領導人(rén)現在普遍認爲,網絡安全風(fēng)險是需要管理(lǐ)的首要業務風(fēng)險,而不是需要解決的技術(shù)問(wèn)題。支持和加速業務成果是網絡安全的核心優先事(shì)項,但(dàn)仍然是最大(dà)的挑戰。”
首席信息安全官必須修改他(tā)們的網絡安全運營模型,以整合網絡安全工(gōng)作(zuò)的完成方式。員(yuán)工(gōng)必須知道如(rú)何平衡一系列風(fēng)險,包括網絡安全、财務、聲譽、競争和法律風(fēng)險。網絡安全還(hái)必須通過衡量和報告業務成果和優先級的成功來(lái)與業務價值聯系起來(lái)。
趨勢4:威脅暴露管理(lǐ)
現代企業面臨的攻擊面複雜,容易對網絡安全人(rén)員(yuán)造成職業疲勞。首席信息安全官必須通過實施持續威脅暴露管理(lǐ)計(jì)劃來(lái)改進他(tā)們的評估實踐,以了解他(tā)們面臨的威脅。Gartner公司預測,到2026年(nián),基于威脅暴露管理(lǐ)計(jì)劃優先考慮安全投資的企業遭受的網絡攻擊将減少三分(fēn)之二。
Addiscott說(shuō):“首席信息安全官必須不斷完善他(tā)們的威脅評估實踐,以跟上他(tā)們企業不斷發展的工(gōng)作(zuò)實踐,使用威脅暴露管理(lǐ)方法評估的不僅僅是技術(shù)漏洞。”
趨勢5: 身(shēn)份結構免疫
很多網絡攻擊是由身(shēn)份結構中不完整、配置錯誤或易受攻擊的元素引起的。到2027年(nián),身(shēn)份結構免疫原則将防止85%的網絡攻擊,從(cóng)而将違規行爲的财務影(yǐng)響減少80%。
Addiscott說(shuō):“身(shēn)份結構免疫不僅通過身(shēn)份威脅和檢測響應保護結構中現有和新的身(shēn)份識别與訪問(wèn)管理(lǐ)組件(jiàn),而且還(hái)通過完成和正确配置來(lái)加強它。”
趨勢6:網絡安全驗證
網絡安全驗證彙集了用于驗證潛在網絡攻擊者如(rú)何利用已識别的威脅暴露的技術(shù)、流程和工(gōng)具。網絡安全驗證所需的工(gōng)具在自(zì)動化可(kě)重複和可(kě)預測的評估方面取得(de)了重大(dà)進展,使網絡攻擊技術(shù)、安全控制和流程能夠定期進行基準測試。到2026年(nián),40%以上的企業(包括三分(fēn)之二的中型企業)将依賴整合平台來(lái)運行網絡安全驗證評估。
趨勢7:網絡安全平台整合
随着企業尋求簡化運營,供應商正在圍繞一個或多個主要網絡安全領域整合平台。例如(rú),身(shēn)份安全服務可(kě)以通過結合了治理(lǐ)、特權訪問(wèn)和訪問(wèn)管理(lǐ)功能的公共平台提供。安全和風(fēng)險管理(lǐ)領導者需要持續盤點安全控制,以了解存在重疊的地方,并通過整合平台減少冗餘。
趨勢8:可(kě)組合業務需要可(kě)組合安全
企業必須在其應用程序中從(cóng)依賴單一系統過渡到構建模塊化功能,以響應業務變化的加速步伐。可(kě)組合安全是一種将網絡安全控制集成到架構模式中,然後在可(kě)組合技術(shù)實現中以模塊化級别應用的方法。到2027年(nián),50%以上的核心業務應用程序将使用可(kě)組合的架構構建,這就(jiù)需要一種新的方法來(lái)保護這些應用程序。
Addiscott說(shuō),“可(kě)組合的安全性旨在保護可(kě)組合的業務,使用可(kě)組合組件(jiàn)創建應用程序會引入未發現的依賴關系。對于首席信息安全官來(lái)說(shuō),通過創建基于組件(jiàn)的、可(kě)重用的安全控制對象,是通過設計(jì)嵌入隐私和安全性的重要機(jī)會。”
趨勢9:企業董事(shì)會擴大(dà)其網絡安全監督能力
企業董事(shì)會越來(lái)越重視網絡安全,這是由網絡安全明确問(wèn)責的趨勢推動的,包括加強董事(shì)會成員(yuán)在其治理(lǐ)活動中的責任。網絡安全領導者必須向董事(shì)會報告,證明網絡安全項目對企業目标的影(yǐng)響。
Addiscott表示:“安全和風(fēng)險管理(lǐ)領導者必須鼓勵董事(shì)會積極參與網絡安全決策。作(zuò)爲戰略顧問(wèn),他(tā)們需要爲企業董事(shì)會要采取的行動提供建議(yì),包括安全預算和資源的分(fēn)配。”
此文章(zhāng)來(lái)源于企業網D1Net 如(rú)有侵權請(qǐng)聯系立即删除
|
相(xiàng)關資訊