Gartner近日公布的網(wǎng)絡(luò)安全重要趨勢(shì)預(yù)測(cè)顯示:高管績效評(píng)估將越來越多地與網(wǎng)絡(luò)風(fēng)險(xiǎn)管理能力掛鉤;未來三年內(nèi),全球近三分之一的國家將通過立法對(duì)勒索軟件應(yīng)對(duì)措施進(jìn)行規(guī)范;安全平臺(tái)整合將保障企業(yè)機(jī)構(gòu)即便在惡劣環(huán)境中也能快速發(fā)展。
在近期召開的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)的開幕主旨演講中,Gartner高級(jí)研究總監(jiān)Richard Addiscott和執(zhí)行副總裁Rob McMillan探討了Gartner網(wǎng)絡(luò)安全專家提出的重要趨勢(shì)預(yù)測(cè),這些預(yù)測(cè)可幫助安全和風(fēng)險(xiǎn)領(lǐng)導(dǎo)者在數(shù)字時(shí)代取得成功。
Addiscott表示:“我們不能因循守舊,用過去的方法解決一切問題并不可行。多數(shù)安全和風(fēng)險(xiǎn)領(lǐng)導(dǎo)者已意識(shí)到,一旦發(fā)生危機(jī),就會(huì)引發(fā)嚴(yán)重的業(yè)務(wù)中斷。雖然我們無法控制危機(jī),但我們可以不斷調(diào)整自己的思維方式、理念、計(jì)劃和架構(gòu)。”
Gartner建議,網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)在把握以下幾項(xiàng)戰(zhàn)略性預(yù)測(cè)的前提下,合理制定未來兩年的安全戰(zhàn)略。
從當(dāng)前至2023年,各國政府要求企業(yè)機(jī)構(gòu)保障消費(fèi)者隱私權(quán)的法規(guī)將覆蓋50億公民和超過70%的全球GDP。
截至2021年,已有50個(gè)國家近30億人的消費(fèi)者隱私權(quán)得到了保障,而且隱私法規(guī)的覆蓋范圍仍在繼續(xù)擴(kuò)大。Gartner建議,企業(yè)機(jī)構(gòu)應(yīng)追蹤主體權(quán)利請(qǐng)求方面的指標(biāo),例如每項(xiàng)請(qǐng)求的處理成本和完成時(shí)間等,從中發(fā)現(xiàn)效率有待提升的環(huán)節(jié),并證明加快推進(jìn)自動(dòng)化的必要性。
到2025年,80%的企業(yè)將采取利用單一廠商的SSE平臺(tái)訪問網(wǎng)絡(luò)、云服務(wù)和專用應(yīng)用的策略。
目前,混合辦公模式已逐漸普及,隨時(shí)隨地通過任何設(shè)備訪問數(shù)據(jù)的需求也日益增多。為此,廠商開始推出綜合安全服務(wù)邊緣(SSE)解決方案,圍繞網(wǎng)絡(luò)、私有訪問和SaaS應(yīng)用,打造一致、簡潔的安全保障功能。與具有單項(xiàng)優(yōu)勢(shì)的解決方案相比,單一廠商的綜合型解決方案可提高運(yùn)營效率和安全效果,包括集成更緊密、控制臺(tái)減少,以及進(jìn)行數(shù)據(jù)解密、檢查和重新加密的位置減少等。
到2025年,60%的企業(yè)機(jī)構(gòu)將把零信任作為安全工作的起點(diǎn),超過半數(shù)的企業(yè)機(jī)構(gòu)將無法發(fā)揮零信任的優(yōu)勢(shì)。
如今,零信任一詞在安全廠商的營銷和政府的安全指導(dǎo)中十分常見。零信任使用基于身份和情境、風(fēng)險(xiǎn)適度的信任取代隱性信任,是一種非常強(qiáng)大的思維模式。然而,零信任既是一項(xiàng)安全原則,也是一項(xiàng)組織愿景,因此企業(yè)機(jī)構(gòu)需通過文化變革和有效溝通使其與業(yè)務(wù)成果相聯(lián)系,才能充分發(fā)揮其優(yōu)勢(shì)。
到2025年,60%的企業(yè)機(jī)構(gòu)將把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為進(jìn)行第三方交易和商業(yè)往來的一項(xiàng)主要決定因素。
與第三方有關(guān)的網(wǎng)絡(luò)攻擊正在不斷增加。但Gartner調(diào)研顯示,僅有23%的安全和風(fēng)險(xiǎn)領(lǐng)導(dǎo)者對(duì)第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患進(jìn)行實(shí)時(shí)監(jiān)控。Gartner認(rèn)為,隨著消費(fèi)者的擔(dān)憂加劇和監(jiān)管機(jī)構(gòu)的關(guān)注升溫,從簡單的關(guān)鍵技術(shù)供應(yīng)商監(jiān)控到復(fù)雜的并購盡職調(diào)查,企業(yè)機(jī)構(gòu)在與第三方開展業(yè)務(wù)時(shí)將開始把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為一項(xiàng)重要的決定因素。
到2025年,30%的國家將批準(zhǔn)立法,對(duì)勒索軟件支付、罰款和談判做出規(guī)定,而2021年的這一比例還不到1%。
如今,現(xiàn)代勒索軟件團(tuán)伙不但竊取數(shù)據(jù),而且會(huì)對(duì)數(shù)據(jù)進(jìn)行加密。企業(yè)機(jī)構(gòu)往往從業(yè)務(wù)而非安全角度出發(fā),做出是否支付贖金的決定。Gartner建議,在進(jìn)行談判之前,應(yīng)與專業(yè)的事件響應(yīng)團(tuán)隊(duì)以及執(zhí)法部門和相關(guān)監(jiān)管機(jī)構(gòu)進(jìn)行溝通,獲得咨詢建議。
到2025年,威脅行動(dòng)者將成功地把運(yùn)營技術(shù)環(huán)境變?yōu)槲淦,造成人員傷亡。
針對(duì)運(yùn)營技術(shù)的攻擊已變得更為普遍(運(yùn)營技術(shù)是指對(duì)設(shè)備、資產(chǎn)與流程進(jìn)行監(jiān)測(cè)或控制的硬件和軟件),會(huì)造成更大程度的破壞。Gartner認(rèn)為,安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者在保障運(yùn)營環(huán)境安全的過程中,應(yīng)將保護(hù)人員與環(huán)境免受真實(shí)傷害置于比防止信息失竊更重要的位置。
到2025年,70%的首席執(zhí)行官(CEO)將要求建立具備韌性的企業(yè)文化,以應(yīng)對(duì)同時(shí)出現(xiàn)的各類威脅:網(wǎng)絡(luò)犯罪、惡劣天氣事件、內(nèi)亂和政治動(dòng)蕩。
新冠疫情暴露了傳統(tǒng)業(yè)務(wù)連續(xù)性管理規(guī)劃工作的局限性,即無法幫助企業(yè)機(jī)構(gòu)應(yīng)對(duì)大規(guī)模中斷。鑒于可能發(fā)生的持續(xù)中斷,Gartner建議風(fēng)險(xiǎn)領(lǐng)導(dǎo)者將組織韌性作為一項(xiàng)戰(zhàn)略要?jiǎng)?wù),并制定一份讓員工、相關(guān)方、客戶和供應(yīng)商共同參與的企業(yè)機(jī)構(gòu)級(jí)別韌性戰(zhàn)略。
到2026年,50%的首席高管人員的勞動(dòng)合同中將增加與風(fēng)險(xiǎn)有關(guān)的績效要求。
Gartner最近的一項(xiàng)調(diào)研發(fā)現(xiàn),大多數(shù)董事會(huì)現(xiàn)在不僅僅將網(wǎng)絡(luò)安全視為IT技術(shù)問題,還將其視為業(yè)務(wù)風(fēng)險(xiǎn)。因此,Gartner預(yù)計(jì),業(yè)務(wù)高層領(lǐng)導(dǎo)者將正式接替安全領(lǐng)導(dǎo)者,成為網(wǎng)絡(luò)安全工作的負(fù)責(zé)人。