随着全球数字化转型进入“深水区”,网络安全事件也在频繁出现。例如,针对身份基础设施、数据窃取等相关的勒索软件持续发生;以生成式人工智能为主的新兴技术的发展让越来越多更成熟的网络安全厂商发布了生成式人工智能在网络安全的应用服务;与此同时,动态持续变化的监管环境、供应链的依赖性、工作模式的转变等诸多方面都为企业的安全管理带来更多挑战。
近日,Gartner发布2024年网络安全重要趋势。根据Gartner公司的研究,推动2024年主要网络安全趋势的因素包括生成式人工智能(生成式AI)、持续威胁暴露、第三方风险、隐私驱动的应用和数据解耦和网络安全技能重塑等九大趋势。
Gartner研究总监陈延全
“这九大趋势有两个主要的主题:一方面是,外部的环境、监管环境威胁让企业需要更多的韧性;另一方面是,企业内部通过工具来持续优化自身的韧性,提高安全团队的工作效能。”Gartner研究总监陈延全日前在接受笔者的采访时表示,为了应对这些因素的综合影响,2024年风险管理领导者需要在其安全计划中采取一系列实践方法、技术功能和结构改革。
毫无疑问,生成式人工智能对网络安全带来的影响是多方面的,特别是对于CISO的角色。他需要持续的观察新使用生成式人工智能的场景,无论是第三方提供包装好的SaaS或是通过API接口以及企业自用开源大模型自建生成式人工智能应用等。
此时,如何安全的使用这些生成式人工智能服务也取决于“采购”或是“自建”,从采购到自建的过程中也有很多不同的模式,对于CISO来说,不仅需要生成式的安全人工智能防御外部攻击,还需要加强业务流程的监控。
“去年国内有一些安全厂商发布了一些安全领域的垂直行业大模型,但是整体技术的发展还不是特别成熟。可能在2025年会有更多成熟的把生成式人工智能集成到安全的工作流程的产品。”陈延全表示,生成式人工智能本身技术也还是在持续的演进,所以是有必须要持续的、透过新的技术,比如说在数据层面和模型开发层面等降低这些风险。
第二个趋势,网络安全成果驱动指标,这是过去一两年客户咨询度非常高的话题。虽然网络安全行业已经有非常多成熟的网络安全效能评估最佳实践,比如:国内等保2.0,国际上ISO27001国际认证,但是当企业需要规划未来安全的投入或是和业务部门具体沟通“安全投入的产出和投入之间的关系”,以及未如何具体优化安全投入的选择,会发现这种定性的方式不是特别有效。
“Gartner在2022年就开始建议客户通过三个工具:成果驱动指标(ODM)、保护等级协议(PLA)和风险、价值、成本(RVC)矩阵来量化安全投资的效果。”陈延全举例补充道,企业可以挑选几个可以量化的指标(如:网络钓鱼测试点击率、发布标准补丁更新的平均天数、检测和处置安全事件的小时数等),通过动态调整目标保护等级,最后转换成可以量化的安全财务计划:实际的花费、预算的规划等。
据了解,Gartner针对网络安全的应用场景设计了将近140个可以量化的指标,包含安全事件处处置、系统安全、第三方安全管理、终端安全、网络安全、云安全、身份与访问管理等,客户可以根据自身的情况进行使用。
第三个趋势是关于员工行为的改变。根据Gartner 2022年调查数据显示,69% 的员工在过去的12个月里,有意识地越过安全规范,在他们看来这是为了“方便业务的操作。”
“企业做的这些安全意识的工作能不能实际改变员工的行为,这是企业的关注重点。”在陈延全看来,为了实施有效的安全行为和文化项目, 除了传统的培训方式之外,企业还需要投入更多的人力和技术能力,采用更加成熟的项目设计,还需要结合最佳实践、高管团队支持,以及多样化的工具,然后通过成果驱动指标,制定评估员工行为改变。”
第四个趋势是持续变化的安全运营模式。安全运营模式的改变,来自于很多系统采购的决策权直接下放到业务部门,也就是 “分散式的数字化管理”。
“相较于过去的集中化管理,因为决策权的下方,企业需要在每个业务的项目增设一个固定的比例,且这些预算必须是应用确保项目的安全。安全要求能够满足这些相关的费用上,也会影响到员工的行为。”陈延全认为就像是一个“蝴蝶效应”,会持续影响到不同甚至包含供应商的采购和协同合作。
因此,在分布式的模式工作情况下,需要让系统开发人员知道应该承担更多的安全的决策、安全的判断能力,集中做规划和决策;同时安全部门在制定安全策略和标准的时候,要更加“民主化”。邀请更多业务部门,参与整个公司的安全策略的制定。
第五个趋势是第三方网络安全风险管理。第三方的风险也是一个持续的问题,很多新的服务产品、技术,不管是“云”上、还是外包、运维的服务,第三方的引入会对系统层和数据层带来一定程度的安全风险。
“针对第三方安全风险管理,要有一些实践和思维上的转变。”陈延全表示,够协助第三方来提升安全成熟度,这对企业长期来看这是一个互利的一种关系,既可以帮助第三方去共享安全事件处置的 “最佳实践”,推荐安全控制措施,还可以通过与第三方的交流合作,实现一个持续性的第三方安全风险规划。
当然,第三方安全管理需要一个跨企业的协同合作,不单只是安全部门去制定规则或者是透过安全流程去做管控,这不现实。
第六个趋势是持续威胁暴露面管理,是这两年在安全领域比较显著的一个趋势。2024年有两大安全领域趋势是列入“2024 年十大战略技术趋势”: 一个是人工智能信任风险和安全管理(AI TRiSM);另一个就是持续威胁暴露面管理(CTEM)。
值得一提的是,持续威胁暴露面管理和传统暴露面管理不一样的是管理的边界变了,以前企业关注的暴露面更多是可以透过打补丁的方式去修复的环境、资产和设备。然而新技术和服务交付的方式大部分都是没办法通过预先打补丁的方式来修复的如:软件即服务(SaaS)、数字供应链、社交媒体,所以企业要去持续的监控并正确的定位安全盲点。
首先,企业需要认知到暴露面的扩展;其次,通过工具做快速的识别,需要注意的是,可以通过第三方厂商的服务从攻击者的角度验证暴露面的真实影响和现有防御措施的真实效力,然后优先去处理优先级高、同时被利用的概率高的漏洞。
“在安全的投入在有限的资源下,我们要去平衡这种预防性的安全投入和能够提升响应能力与韧性的安全投入。”陈延全认为,这两类的安全投入要做一个适当的平衡。
第七个趋势是网络安全技能的重塑,过去网络安全的能力会偏重技术侧,透过取得安全认证的方式是传统有规划的“瀑布式的学习方法”。但是现在看,趋势变化非常快,再加上外部的新威胁,这就涉及到跨多个业务部门的合作,所以网络安全的团队人员的技能需要逐渐从传统的技术技能的要求扩展到能够应对新挑战的软技能和新兴技术。
这些技能很多都是在安全的专业知识以外,比如:变革管理,对于数据分析和数据模型的理解以及对于沟通能力、业务、行业知识和新兴技术的理解等。这对网络安全的从业人员要求越来越高。
如何去快速的取得这些洞察?首先要着眼新技术(例如生成式AI 和云计算)、不是局限于现有哪些资产;其次,要Hire for the future,即总结失败的经验,然后赋能到其他的同事;最后就是敏捷的学习文化,通过小组式的学习迭代、短时间的实践技能开发,而不是基于瀑布的培训和认证计划。
第八个趋势是改善身份与访问管理实践。身份与访问管理(IAM)是一个非常重要的基础设施。事实上IAM和每一个安全领域实践都有深入的交集,因为不管应用或数据的使用、网络的访问,都脱离不了用户的身份或者是访问权限等。
例如,定期的帐号审阅、帐号清除等基本的工作。现在有很多新的攻击是针对IAM基础设施,所以拓展到针对IAM相关的外部攻击威胁、检测与响应的ITDR服务在国内发展快速。同时,企业可以通过从过去集中化安全认证机制,转换成身份编织、分布式的身份认证架构。
第九个趋势是隐私驱动的应用和数据解耦。现在全球来看,大部分还是针对个人信息的跨境传输和本地化的要求是比较多的。但是在国内的话,除了个人信息、还有重要业务数据是国内监管比较关注的。
“当很多跨国的企业在国内有一定规模的业务运营的范围和系统建设之后,他们会面临到国内系统与国外系统之间的数据传输如何传、能不能传,以及应用系统是不是要做本地化和拆分等合规驱动问题。”陈延全表示,跨国企业在考虑是否将数据本地化存储、将应用系统针对中国市场做一些拆分的决策过程中需要考虑到系统本地化之后是不是能够和本地的数字生态深入整合,以及国内的技术厂商能否提供相关的技术支持等,所以最终又回到了CIO这个角色:CIO负责的安全、数据分析、基础设施、应用开发团队都需要参与其中,最终决策结果会影响到整个IT团队。
陈延全透露,基于第九个趋势,Gartner近期会针对中国市场写一个特别主题的报告——“赋能韧性”:帮助跨国企业理解正在变化的中国IT本地化和解耦趋势,同时帮助他们做出决策,根据当地的市场需求,做出正确的战略规划。