电话

15169028800

2023年网络安全趋势是什么?产品做减法治理需前置

标签: 网络运营是什么意思 2023-08-04 

  从物联网、工业4.0,直至现在IoT万物互联的概念被提出之后,网络安全的覆盖范围随之扩大,在整体上对信息安全从业者的要求有了很大的变化,以前靠传统硬件堆叠就能解决大多数问题的时代,一去不复返。

  反观现状,网络安全产品与功能的高速发展,响应与治理的分割,运营与处置的矛盾,都让安全领域亟待提升强化。而这种强化,并不是单纯追求技术能力的提升,而是要求企业先要从安全理念上突破和改变。

  近来,“在安全上做减法,降低复杂性”,以及“‘前置安全’,加强管理手段”的相关安全理念在业界被反复提及。

  近年来,物联网越来越受欢迎,目前有数百万设备连接到互联网。然而,物联网的扩展带来了新的网络安全挑战。

  物联网中的“物”是指计算机、电话和服务器以外的设备,是连接到互联网并交换数据的物理对象。物联网设备包括可穿戴健身追踪器、智能手表和谷歌主页等语音助手。

  物联网的一个主要问题是,大多数设备的安全功能都很低,容易受到攻击。此外,大量物联网连接设备形成了一个难以防御的重要攻击面。

  为了应对这一风险,各企业应实施强有力的身份验证,和加密措施以及强大的监控和响应系统。此外,在发生安全漏洞时,需要制定一个协调一致、行之有效的应对计划,因为这可以减少攻击的影响,降低数据丢失的风险。

  近年来,数字化转型升级让大量的企业都开始使用公有云、远程办公来提高效率,从而导致风险暴露面的扩大,再加上合规建设等要求,企业们纷纷加大了对终端安全的投入。

  “终端安全产品堆叠是企业普遍存在的弊病。”某网络安全厂商对钛媒体App表示。钛媒体App也了解到,在终端安全中一味堆叠产品并不能拥有1+12的效果,相反,有时还会出现小于2的情形。

  终端疯狂堆砌安全产品的另一面,是企业会打包不同网络安全厂商产品一起使用,这也产生了两方面的不利影响:一方面,大量产品堆叠让使用体验恼于卡顿;另一方面,出现问题时各家厂商互相推诿扯皮的现象时有发生。

  总体来说“理想丰满,现实骨感”,一味堆叠终端安全产品,也对业务产生了一些负面影响。这表现在运维上,则是繁多的产品让终端运维变得繁杂、低效,加大了终端运维工作人员的负担。

  数字化办公环境下,终端已经成为员工访问企业数字化系统最重要的工具,每当终端出现问题之后,不论问题大小,大家都会条件反射地对接运维人员,导致运维人员的工作量成倍扩增。但终端承载的业务、功能多元化,导致终端管理本身就比较困难;加之终端安全方面缺乏类似可度量的指标,无法持续对终端的整体安全情况进行检测,压垮终端运维的稻草一直在持续叠加。

  除了内忧,还有黑客带来的外患。黑客组织专业化、体系化情况下,割裂的产品则容易导致攻防不对称,防护效果大打折扣。尤其现在人工智能攻防呈现对抗发展的演化,黑客基于人工智能的攻击越来越隐蔽化,又加大了应对难度。

  不过,最近风向好像变了,在认识到产品堆叠的一系列问题之后,一些网络安全厂商开始强调产品要走向轻量化,减少产品堆叠,强调以提升效率为主。“网络安全最小化,网络安全要打合成仗”的口号也在业内形成了此起彼伏的声浪。

  随着技术的革命、技术的迭代,终端安全也需要做减法,变得更加简洁、有序和有防御性。

  终端安全与业务的关联示例一方面明示了安全治理要做减法的思路,另一方面,也隐含了安全理念急需加强的潜在问题。

  此前,腾讯安全联合安在,先后对1500余位企业CSO,50多位企业家及行业专家进行了调研,调研发现,发展驱动成为大家的普遍共识,即基于“治已病”发展为“治未病”的前置安全的观念。

  腾讯集团副总裁、腾讯安全总裁丁珂认为,安全建设的范式正在从被动安全逐步演变为主动防御,是这个阶段企业建设安全的核心考量。他还表示:“企业家的整体安全思维要进行变革:用主动的方式建立具有弹性、自适应、可扩展的数字安全免疫系统。”

  但现实问题恰恰就在于,企业家的思维变革并不容易。类似“先天性数字安全免疫力”,即企业的安全文化和意识的推进也并不轻松。

  对于上述问题,施耐德电器的管理经验是,通过识别、评估、分类分级流程后建立的风险注册表,将可能发生的风险因素与高管们每个人的职责相绑定,提高企业高层们对安全风险的预警意识,认识到自己并不是游离在安全之外的因素。而通过风险注册表,不仅能将安全责任落实到整个体系中,也能通过定期、持续的评估来了解企业是进步还是退步。

  安全的保障一定是技术和组织的双轮驱动。中国人民大学商学院教授、国际信息系统学会中国分会(CNAIS)主席(理事长)毛基业表示:“我们当年讲ERP是组织变革,是三分技术、七分管理,今天讲数字经济、数字化转型还是讲三分技术、七分组织。最主要的是生产力的解放,要靠生产关系靠组织变革来完成。双轮驱动,除了有技术,还要有管理层面最深层的治理关系,所有制、责权利相符。”

  将安全前置,以管理视角优先,多层面地提高安全风险意识,接下来还需要企业在喊口号之外,再多走两步。

  采用以人为本的设计原则,将员工体验在整个控制措施管理生命周期中的作用放在第一位。到2027年,50%的大型企业首席信息安全官(CISO)将采用以人为本的安全设计原则,以尽量减少网络安全运营摩擦,并尽可能推动控制措施的采用。

  Gartner高级研究总监Richard Addiscott表示:“传统的安全意识培养计划未能减少不安全的员工行为。首席信息安全官必须重新审视过去的网络安全事件,确定网络安全运营摩擦的主要来源,判断在实施控制措施的同时如何通过更多人文关怀来减轻员工的负担,或取消那些增加摩擦却无法有效降低风险的控制措施。”

  以前,网络安全领导者始终重视改进安全计划背后的技术和流程,很少关注具体的实施者。为吸引和留住人才,不少首席信息安全官采用以人为本的人才管理方法,推动安全职能和技术的日益成熟。Gartner预测,到2026年,为了解决系统性的网络安全和招聘难题,60%的企业机构将从对外招聘转向 “悄悄招聘”,在企业机构内部物色所需的人才。

  技术正在从中央IT部门转移到各业务线、职能部门、融合团队和员工个人。Gartner的一项调研发现,41%的员工在从事某种技术工作,并且该趋势预计将在未来五年继续加深。

  Addiscott表示:“如今企业领导者普遍认为,网络安全风险已成为需认真对待的首要业务风险,而不再仅仅是有待解决的技术问题。支持和加速业务成果,既是网络安全工作的核心目标,也是一项重大的挑战。”

  首席信息安全官必须调整网络安全的运营模式,通过综合方法达成工作目标。员工必须了解如何平衡网络安全、财务、声誉、竞争、法律等诸多方面的风险。还必须将网络安全与业务价值挂钩,从业务成果和重点目标的角度来衡量和报告项目效果。

  现代企业面临的攻击面十分复杂,导致安全防护人员身心疲惫。首席信息安全官必须改善评估方法,实施连续威胁暴露面管理(CTEM)计划来了解威胁暴露情况。Gartner预测,到2026年,根据CTEM计划确定安全投资优先级的企业机构将有能力使安全泄露事件减少三分之二。

  身份基础设施的脆弱性来自于身份编织中的不完整、配置错误或脆弱的要素。到2027年,企业机构将依靠身份编织免疫原则阻止85%的新攻击,进而将安全泄露所造成的财务影响减少80%。

  网络安全验证汇集了多项技术、流程和工具,旨在对潜在攻击者利用已知威胁暴露面的方式进行验证。支持网络安全验证的工具已取得重大进步,已实现可重复以及可预测评估环节的自动化,支持对于攻击技术、安全控制和流程的常规基准化分析。到2026年,超过40%的企业机构(其中三分之二为中型企业)将依靠整合平台来执行网络安全验证评估。

  由于企业机构希望简化运营,各厂商正在围绕一个或多个主要的网络安全领域进行平台整合。例如,通过一个集治理、特许访问和访问管理功能于一身的共同平台提供身份安全服务。SRM领导者需要持续盘点安全控制措施,以便了解哪些领域存在功能重叠,并通过整合平台减少冗余。

  为应对不断加快的业务变化步伐,企业机构必须从摆脱对单体系统的依赖,转而向各类应用添加模块化功能。组装式安全是指将网络安全控制措施整合到架构模式中,然后以模块化方式运用至可组装技术中。到2027年,超过50%的核心业务应用将使用组装式架构,因此需要一种新方法来保护这些应用的安全。

  由于网络安全责任的归属日益明确,而董事会成员在治理活动中的责任也越来越大,因此董事会对网络安全更加重视。网络安全领导者必须向董事会提供相关的报告,证明网络安全计划对企业机构短期和长期目标的影响。