圖說:Gartner發布2023-2024年八大網絡安全趨勢預測
Gartner近日公布的網絡安全重要趨勢預測顯示,半數資安長(CISO)將採取以人為本的設計,旨在減少網絡安全運營中的摩擦;大型企業將重點執行零信任計劃;半數網絡安全領導者將嘗試使用網絡風險量化機制來推動決策,但會以失敗告終。
在近日召開的Gartner安全與風險管理峰會的開幕主旨演講中,Gartner高級研究總監Richard Addiscott和咨詢部門高級總監Lisa Neubauer探討了Gartner網絡安全專家提出的重要趨勢預測,這些預測可幫助安全與風險管理領導者在數位時代取得成功。
Addiscott表示:「雖然資安長及其團隊必須高度關注當前發生的事件,才能最大程度地保證其企業機構的安全,但在關注日常挑戰的同時,也應抽出時間進行遠景展望,把握未來幾年將影響企業機構安全計劃實施的趨勢。」
「這些預測代表著我們看到的一些新趨勢,任何希望制定有效、可持續的網絡安全計劃的資安長都應給予重視。」
Gartner建議,網絡安全領導者應把握以下幾項戰略規劃假設,合理制定未來兩年的安全戰略。
到2027年,50%的資安長將正式在其網絡安全計劃中採用以人為本的設計原則,希望借此將安全運營摩擦降至最低,並盡可能採用控制措施。
Gartner調研表明,在承認曾在工作中采取不安全行為的員工中,超過90%的人雖然意識到自身行為會增加企業機構的風險,但依然選擇這麽做。以人為本的安全設計將人本身(而非技術、威脅或位置)作為設計和落實控制措施的核心,以便盡量減少摩擦。
到2024年,現代隱私法規將覆蓋大多數消費者數據,但只有不到10%的企業機構能夠成功地將隱私保護轉化為競爭優勢。
企業機構開始認識到,在隱私保護計劃的支持下,他們將可以把數據用於更廣泛的用途、實現與競爭對手的差異化,並獲取客戶、合作夥伴、投資者和監管機構的信任。Gartner建議,安全領導者應執行符合《通用數據保護條例》(GDPR)的全方位隱私標準,以便在日益激烈的市場競爭中脫穎而出並順利發展。
到2026年,10%的大型企業將執行一項全面、成熟、可衡量的零信任計劃,而目前這一比例還不到1%。
執行成熟、大範圍的零信任計劃需要整合並配置多個不同的系統組件,這可能會增加技術難度和覆雜性。計劃實施能否成功,在很大程度上取決於能否創造業務價值。秉持不斷完善的思路並從細微處入手,將使企業機構更容易從零信任計劃中獲益,並逐步處理一些覆雜的問題。
到2027年,75%的員工將在IT部門之外獨立地獲取、修改或創建技術,2022年的這一比例為41%。
資安長的角色和責任範圍正在從負責控制措施轉變為促進風險決策。應對即將到來的變化,關鍵在於重新構建網絡安全運營模式。Gartner建議,不應僅從技術和自動化的角度思考問題,而應通過與員工深入交流來影響決策,並確保員工掌握必要的知識以作出明智決策。
到2025年,50%的網絡安全領導者將嘗試使用網絡風險量化機制來推動企業決策,但會以失敗告終。
Gartner調研表明,62%的網絡風險量化機制採用者提到了增加信譽和提高網絡風險意識等軟性收益,但只有36%通過行動取得了預期成果,包括降低風險、節約成本或切實影響決策。安全領導者應集中精力實施決策者所需的量化分析,而不是進行自我導向的分析並試圖說服業務部門給予認同。
到2025年,近半數網絡安全領導者將更換崗位,25%的人將難以承受多重工作所帶來的壓力,徹底轉到其他崗位。
在疫情影響以及全行業人員短缺的推動下,網絡安全專業人員的工作壓力正在不斷上升,並變得無法承受。Gartner建議,雖然完全杜絕壓力不切實際,但如果通過企業文化獲得支持,人們將有能力完成棘手、壓力較大的工作。通過改變工作參與規則來推動企業文化變革,將對此有所助益。
到2026年,70%的董事會將增加一名通曉網絡安全專業知識的董事。
網絡安全領導者若想被業務部門視為合作夥伴,就需要了解董事會和企業的風險偏好。這意味著,他們不僅需要展示如何利用網絡安全計劃防止不利事情的發生,還要證明此類計劃可有效地幫助企業提高風險承受能力。Gartner建議,資安長應積極地引領變革,向董事會闡明網絡安全措施的價值並提供實施支持,同時通過增進與利益相關者的聯系來獲得更大的信任和支持。
到2026年,超過60%的威脅檢測、調查和響應(TDIR)解決方案將利用暴露面管理數據來驗證和優先處理被檢測到的威脅,而目前這一比例還不到5%。
隨著連接數量的增加以及SaaS和雲應用的普及,企業機構面對的攻擊面正在不斷擴大,因此需要提高可見性和打造中心化平台,持續地監測各類威脅與暴露面情況。TDIR能力提供了一個可以管理檢測、調查和響應的統一平台或平台生態系統,使安全運營團隊能夠全面地掌控風險和潛在影響。
