Gartner 2022安全与风险趋势
发布时间 2022-04-203月初,Gartner确认了2022年的七大安全与风险趋势。Gartner表示,安全和风险管理领导者需要应对七大趋势,才能保护企业不断扩张的数字足迹免受2022年及以后新威胁的影响。
Gartner研究副总裁PeterFirstbrook表示:“全球企业正面临着复杂的勒索软件攻击、针对数字供应链的攻击和深层漏洞。此次疫情加快了混合工作模式的发展和上云速度,这给CISO提出了一道难题:如何保护日益分散化的企业,同时解决资深安全人员的短缺问题。”
这些挑战引发了影响网络安全实践的三个总体趋势:
(1)针对复杂威胁的新应对措施;
(2)安全实践的演变和重构;
(3)对技术的重新思考。
以下趋势将在这三个领域对行业产生广泛影响。
趋势1:受攻击面扩大
企业的受攻击的暴露面正在不断扩大。信息物理系统和物联网的使用、开源代码、云应用、复杂的数字供应链、社交媒体等引发的风险使企业暴露出的受攻击面超出了其可控资产的范围。企业必须采用比传统的安全监控、检测和响应更先进的方法,来管理更大范围的安全风险。
数字风险保护服务(DRPS)、外部攻击面管理(EASM)技术和网络资产攻击面管理(CAASM)将帮助CISO实现内外部业务系统的可视化,自动检测安全短板。
数字风险一般指钓鱼欺诈、数据泄露、盗版侵权、威胁误报等数字化转型中所面临的风险,由于其态势呈现出速度、幅度变化的多样性,企业自身往往无暇防范,后续可能会借助安全厂商的服务来缓解此类风险。有兴趣的可以阅读一下《DRP数字风险防护2021年度报告》。
补充:网络资产攻击面管理(CAASM)出自《Hype Cycle for Security Operations, 2021》,攻击面管理(ASM)旨在以攻击者视角,从外部发现企业的数字资产,包括应用、IP、端口、域名、数据、云服务等已知资产和未知资产,并基于资产清点开展风险、脆弱性和异常行为评估,结合内部业务和外部威胁情况开展风险优先排序,进而指导管理者制定缓解措施和处置计划,及时进行攻击面收敛,对威胁和风险进行有效管控。
在攻击面管理(ASM)过程中,可以通过外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)的能力,进行攻击面的主动检测和持续监控,通过扩展检测和响应(XDR)能力被动进行攻击面检测和威胁发现,通过突破和攻击模拟(BAS)以及渗透测试服务(Pen Testing as a Service)等对抗的方式发现潜在的弱点和风险,通过威胁情报准确定位威胁行为,通过漏洞优先级技术(VPT)指导攻击面收敛。相关技术可以融入到攻击面管理的技术框架中,并作为一个子集提供独特的安全能力。
通过攻击面管理(ASM)框架,可以有效整合企业的安全能力,实现对攻击面的有效检测、分析、响应和监控。同时传统的网络安全方法论,例如PDCA、ASA(自适应安全框架)模型,都可以过渡到攻击面管理方法框架中,最终实现以风险为导向的安全管理闭环。对于企业来说,可以有效降低技术成本,可以说攻击面管理框架使企业具备了从合规导向步入风险导向的条件,让企业能够聚焦网络安全的本质,符合全球网络安全产业发展的趋势。
趋势2:数字供应链风险
攻击数字供应链可以让网络犯罪分子产生高额的回报。随着Log4j等漏洞在供应链上的传播,预计将会出现更多威胁。Gartner预测,到2025年全球45%的企业机构将遭受软件供应链攻击,相比2021年增加3倍。
为了降低数字供应链风险,企业机构需要采取新的应对之策,包括进行更加慎重、基于风险的厂商/合作伙伴细分和评级,要求提供安全控制和最佳实践的证明,向弹性思维转变,未雨绸缪,走在即将出台的法规之前。
补充:有人会说,我们现在连供应链安全都没搞明白,怎么又来个数字供应链安全,这还怎么玩?其实,可以将其看错“供应链+”,传统供应链其实现在已经不多见了,在当今的数字经济时代,企业都在加速数字化转型,没有网络,很多公司可能都无法正常运转,所以尽管提到了数字供应链,但实际还是传统的供应链,只是把互联网、数字化融合了进来。
让我们来看下数字供应链的定义,在国务院办公厅发布的《关于积极推进供应链创新与应用的指导意见》(国办发〔2017〕84号)中,明确提出“供应链是以客户需求为导向,以提高质量和效率为目标,以整合资源为手段,实现产品设计、采购、生产、销售、服务等全过程高效协同的组织形态。”
根据网络释义,数字化供应链(DSC)Digital Supply Chain是全球化、智能化、柔性化生产的基础。通过平台实现B2B或C2M的批量生产或是单件定制。数字化供应链是基于云端数字化大数据实现智能机器人的处理及应用。只有把物数字化后才可能实现全球化智能化的生产。
趋势3:身份威胁检测和响应
精明的攻击者正在瞄准针对身份和访问管理(IAM)基础设施,通过凭证滥用发起攻击。Gartner提出了“身份威胁检测和响应(ITDR)”这一术语来描述保护身份系统的工具和最佳实践合集。
Firstbrook表示:“企业投入巨大精力来提升IAM能力,但其中大部分都专注于改进用户身份认证技术,这实际上扩大了网络安全基础设施基本组成部分的受攻击面。ITDR工具可以帮助保护身份系统、检测它们何时遭到破坏并采取有效的补救措施。”
观点:既然是Gartner造的新词,那么一定是根据其之前的技术演变而来。这个路径应该是:检测与响应(EPP、EDR、UEBA)--XDR、CWPP—SASE(ZTA、IAM、NDR),然后有了ITDR。其他方面威胁检测与分析不变,但关注的焦点从终端主机切换到了身份,这和零信任有些相似,把重点从边界转移到身份/设备。
趋势4:分布式决策
企业的网络安全需求和期望日趋成熟,随着受攻击面不断扩大,高管们需要更加敏捷的安全措施。因此,为了满足数字业务的范围、规模和复杂性,需要将网络安全决策、责任和问责制度分散到整个企业,避免职能的集中化。
Firstbrook表示:“CISO的角色已经从技术领域专家转变为执行风险管理者。到2025年,单一、集中的网络安全功能将无法满足数字化企业的需求。CISO必须重新认识自身的职责,帮助董事会、首席执行官和其他业务领导者做出明智的风险决策。”
观点:Garnter最近几年一直提倡一种去中心化的理念,比如今年的重要技术趋势报告中,2020-2021年连续提到分布式云;2021年提出随处运营、网络安全网格、组装式企业趋势;2022年提出组装式应用、自制系统(再次提到网络安全网格)。从技术上升到管理,再到战略决策,其实并不算意外。理念相同,高度不同。各位可以参考本人之前对这些趋势的分析(参考资料4-6)。
趋势5:超越安全意识培训
许多数据泄露事件仍然因人为错误而引起,这证明传统安全意识培训方法是无效的。先进的企业机构正在投资于整体安全行为和文化计划(SBCP),取代过时的以合规为中心的安全意识宣传活动。整体安全行为和文化计划侧重培养新的思维方式和行为,从而使整个企业机构内部采取更加安全的工作方式。
观点:根据BetterCloud对SaaS管理的调查显示,疏忽大意是迄今为止导致数据丢失的最大威胁。在数据泄露方面,最大的威胁并不是自黑客或内部员工,相反,72%的组织表示,员工通常并没有恶意,只是想做好自己的工作,但在此过程中可能会无意间暴露敏感信息。
在2020s年代,还在给员工做十年甚至二十年前的安全意识教育,可能有些不合时宜,开发一批新的安全意识培训课程和理念也许是企业应该考虑的一个新问题。
趋势6:厂商整合
在降低复杂性、减少管理开销和提高有效性等需求的推动下,安全技术正在加速融合。扩展检测和响应(XDR)、安全服务边缘(SSE)和云原生应用保护平台(CNAPP)等新的平台策略正在加速释放融合解决方案的效益。
例如,Gartner预测,到2024年,30%的企业将采用同一家厂商提供的云端安全网络网关(SWG)、云接入安全代理(CASB)、零信任网络接入(ZTNA)和分支机构防火墙即服务(FWaaS)功能。安全功能的整合将降低总体拥有成本,提高长期运营效率,进而提高整体安全系数。
观点:其实也不算新趋势,只不过随着时间积累,造的轮子和孤岛太多,越发复杂,难以管控,现在想要统一优化管理,那岂不是天方夜谭?要想改就要从根入手,不下血本不够狠,那基本是改不了的。产品、平台、供应商整合喊了好多年,介于很多企业历史遗留因素过多,暂时没有太好的办法。但是,一些初创和中小企业会容易很多,并从中受益。
趋势7:网络安全网格
安全产品的整合趋势正在推动安全架构组件的集成,但企业机构仍需要定义统一的安全策略,启用工作流,并在整合的解决方案之间交换数据。网络安全网格架构(CSMA)有助于提供一个通用的集成式安全架构和态势来保证所有本地、数据中心和云端资产的安全。
Firstbrook表示:“Gartner发布的主要网络安全趋势并非孤立存在,而是相互依存和加强。它们将共同帮助首席信息安全官推动自身角色的演变,从而应对未来的安全和风险管理挑战,并继续提升他们在企业机构中的地位。”