2023年(nián)網絡安全的主要趨勢

根據調研機(jī)構Gartner公司的研究，企業的安全和風(fēng)險管理(lǐ)領導者在創建和實施符合行業趨勢的網絡安全計(jì)劃時，必須重新考慮在網絡安全技術(shù)和以人(rén)爲本之間的投資平衡。

研究表明，企業的安全領導者必須以人(rén)爲本來(lái)建立有效的網絡安全計(jì)劃。

根據調研機(jī)構Gartner公司的研究，企業的安全和風(fēng)險管理(lǐ)領導者在創建和實施符合行業趨勢的網絡安全計(jì)劃時，必須重新考慮在網絡安全技術(shù)和以人(rén)爲本之間的投資平衡。

Gartner公司高級總監分(fēn)析師(shī)Richard Addiscott表示：“以人(rén)爲本的網絡安全方法對于減少網絡安全事(shì)件(jiàn)至關重要。專注于控制設計(jì)和實施中的人(rén)員(yuán)，以及通過業務溝通和管理(lǐ)網絡安全人(rén)才，将有助于改善業務風(fēng)險決策和網絡安全人(rén)員(yuán)的留任。”

爲了應對網絡安全挑戰并維持有效的網絡安全計(jì)劃，安全和風(fēng)險管理(lǐ)領導者必須關注三個關鍵領域：(1)人(rén)員(yuán)在安全計(jì)劃成功和可(kě)持續性方面的重要作(zuò)用;(2)技術(shù)安全能力，在企業的數字生(shēng)态系統中提供更高的可(kě)見(jiàn)性和響應性;(3)重組安全功能的運作(zuò)方式，在不損害安全性的情況下實現靈活性。

以下九個趨勢将在這三個關鍵領域産生(shēng)廣泛影(yǐng)響：

趨勢1：以人(rén)爲本的安全設計(jì)

以人(rén)爲本的安全設計(jì)優先考慮員(yuán)工(gōng)體(tǐ)驗在控制管理(lǐ)生(shēng)命周期中的作(zuò)用。到2027年(nián)，50%的大(dà)型企業首席信息安全官将采用以人(rén)爲本的安全設計(jì)實踐，以最大(dà)限度地減少網絡安全引起的摩擦，并最大(dà)限度地提高控制采用率。

Addiscott說(shuō)，“傳統的網絡安全意識項目未能減少員(yuán)工(gōng)的不安全行爲，首席信息安全官必須審查過去(qù)的網絡安全事(shì)件(jiàn)，以确定網絡安全摩擦的主要來(lái)源，并确定他(tā)們可(kě)以在哪些方面通過以人(rén)爲本的控制來(lái)減輕員(yuán)工(gōng)的負擔，或者取消那些增加摩擦卻沒有有效降低風(fēng)險的控制。”

趨勢2：爲安全項目的可(kě)持續性加強人(rén)員(yuán)管理(lǐ)

傳統上，網絡安全領導者專注于改進支持他(tā)們安全項目的技術(shù)和流程，很少關注創造這些變化的人(rén)員(yuán)。采用以人(rén)爲本的人(rén)才管理(lǐ)方法來(lái)吸引和留住人(rén)才的首席信息安全官在功能和技術(shù)成熟度方面都(dōu)有所提高。Gartner公司預測，到2026年(nián)，60%的企業将從(cóng)外部招聘轉向内部人(rén)才的招聘，以應對系統性的網絡安全和招聘挑戰。

趨勢3：轉變網絡安全運營模式，支持價值創造

技術(shù)正在從(cóng)中心IT功能向業務線、企業功能、融合團隊和個人(rén)員(yuán)工(gōng)轉移。Gartner公司的一項調查發現，41%的員(yuán)工(gōng)從(cóng)事(shì)某種技術(shù)工(gōng)作(zuò)，這一趨勢預計(jì)将在未來(lái)五年(nián)内繼續增長。

Addiscott說(shuō)，“企業領導人(rén)現在普遍認爲，網絡安全風(fēng)險是需要管理(lǐ)的首要業務風(fēng)險，而不是需要解決的技術(shù)問(wèn)題。支持和加速業務成果是網絡安全的核心優先事(shì)項，但(dàn)仍然是最大(dà)的挑戰。”

首席信息安全官必須修改他(tā)們的網絡安全運營模型，以整合網絡安全工(gōng)作(zuò)的完成方式。員(yuán)工(gōng)必須知道如(rú)何平衡一系列風(fēng)險，包括網絡安全、财務、聲譽、競争和法律風(fēng)險。網絡安全還(hái)必須通過衡量和報告業務成果和優先級的成功來(lái)與業務價值聯系起來(lái)。

趨勢4：威脅暴露管理(lǐ)

現代企業面臨的攻擊面複雜，容易對網絡安全人(rén)員(yuán)造成職業疲勞。首席信息安全官必須通過實施持續威脅暴露管理(lǐ)計(jì)劃來(lái)改進他(tā)們的評估實踐，以了解他(tā)們面臨的威脅。Gartner公司預測，到2026年(nián)，基于威脅暴露管理(lǐ)計(jì)劃優先考慮安全投資的企業遭受的網絡攻擊将減少三分(fēn)之二。

Addiscott說(shuō)：“首席信息安全官必須不斷完善他(tā)們的威脅評估實踐，以跟上他(tā)們企業不斷發展的工(gōng)作(zuò)實踐，使用威脅暴露管理(lǐ)方法評估的不僅僅是技術(shù)漏洞。”

趨勢5： 身(shēn)份結構免疫

很多網絡攻擊是由身(shēn)份結構中不完整、配置錯誤或易受攻擊的元素引起的。到2027年(nián)，身(shēn)份結構免疫原則将防止85%的網絡攻擊，從(cóng)而将違規行爲的财務影(yǐng)響減少80%。

Addiscott說(shuō)：“身(shēn)份結構免疫不僅通過身(shēn)份威脅和檢測響應保護結構中現有和新的身(shēn)份識别與訪問(wèn)管理(lǐ)組件(jiàn)，而且還(hái)通過完成和正确配置來(lái)加強它。”

趨勢6：網絡安全驗證

網絡安全驗證彙集了用于驗證潛在網絡攻擊者如(rú)何利用已識别的威脅暴露的技術(shù)、流程和工(gōng)具。網絡安全驗證所需的工(gōng)具在自(zì)動化可(kě)重複和可(kě)預測的評估方面取得(de)了重大(dà)進展，使網絡攻擊技術(shù)、安全控制和流程能夠定期進行基準測試。到2026年(nián)，40%以上的企業(包括三分(fēn)之二的中型企業)将依賴整合平台來(lái)運行網絡安全驗證評估。

趨勢7：網絡安全平台整合

随着企業尋求簡化運營，供應商正在圍繞一個或多個主要網絡安全領域整合平台。例如(rú)，身(shēn)份安全服務可(kě)以通過結合了治理(lǐ)、特權訪問(wèn)和訪問(wèn)管理(lǐ)功能的公共平台提供。安全和風(fēng)險管理(lǐ)領導者需要持續盤點安全控制，以了解存在重疊的地方，并通過整合平台減少冗餘。

趨勢8：可(kě)組合業務需要可(kě)組合安全

企業必須在其應用程序中從(cóng)依賴單一系統過渡到構建模塊化功能，以響應業務變化的加速步伐。可(kě)組合安全是一種将網絡安全控制集成到架構模式中，然後在可(kě)組合技術(shù)實現中以模塊化級别應用的方法。到2027年(nián)，50%以上的核心業務應用程序将使用可(kě)組合的架構構建，這就(jiù)需要一種新的方法來(lái)保護這些應用程序。

Addiscott說(shuō)，“可(kě)組合的安全性旨在保護可(kě)組合的業務，使用可(kě)組合組件(jiàn)創建應用程序會引入未發現的依賴關系。對于首席信息安全官來(lái)說(shuō)，通過創建基于組件(jiàn)的、可(kě)重用的安全控制對象，是通過設計(jì)嵌入隐私和安全性的重要機(jī)會。”

趨勢9：企業董事(shì)會擴大(dà)其網絡安全監督能力

企業董事(shì)會越來(lái)越重視網絡安全，這是由網絡安全明确問(wèn)責的趨勢推動的，包括加強董事(shì)會成員(yuán)在其治理(lǐ)活動中的責任。網絡安全領導者必須向董事(shì)會報告，證明網絡安全項目對企業目标的影(yǐng)響。

Addiscott表示：“安全和風(fēng)險管理(lǐ)領導者必須鼓勵董事(shì)會積極參與網絡安全決策。作(zuò)爲戰略顧問(wèn)，他(tā)們需要爲企業董事(shì)會要采取的行動提供建議(yì)，包括安全預算和資源的分(fēn)配。”
此文章(zhāng)來(lái)源于企業網D1Net 如(rú)有侵權請(qǐng)聯系立即删除