2019 年七大安全风险趋势分析

aqniu
CISO 一直在努力阐明基于风险的决策的重要性,并发现为组织创建风险偏好声明是使 IT 风险管理与业务目标保持一致的最有效工具。

CISO 一直在努力阐明基于风险的决策的重要性,并发现为组织创建风险偏好声明是使 IT 风险管理与业务目标保持一致的最有效工具。创建简单、实用的风险偏好声明,可以使 CISO 打破安全团队和不同业务单元之间存在的脱节。这是 Gartner 预计将在 2019 年影响 CISOs 的七大安全和风险管理趋势之一。

一、SRM管理者持续发布以业务成果为导向的实用的风险偏好声明,有效提高了利益相关方的参与度

为应对当前的安全形势,风险管理逐渐提上日程,现在已经不仅仅是管理好漏洞那么简单了,还包括战略、市场、供应商、内控、财务、资源优化等多方面的风险(作为一个合规的 CIO,这些应该都有一定的了解。记得 Gartner 的一篇文章提到过 CIO 应该尽可能的参与到 CEO 和董事会的会议中去,能够向 CEO 和高层建议 IT 方面的一些有价值和创造性的建议,而不是等着上边来分派工作,每天只是搞搞 IT 和安全。)一些大型甲方已经开始建立自己的风控体系,尤其是电商公司,目前面对比较头疼的就是 DDoS 攻击、APT、0day、薅羊毛以及社工。如何应对这些风险将成为未来几年企业安全的重中之重,而且前几天的《网络安全漏洞管理规定(征求意见稿)》也提到了要做好风险管理。

这里所提到的风险偏好,类似金融行业投资者的投资偏好,主要反映企业对于安全的一个导向和重要指导方针,如何应对安全、预算是否充足、是否愿意向安全投资、能够或愿意接受的风险水平是怎样的?首先做好这些基础工作,才能开展后续各项部署、计划以及实施和监督改进。最后,也是最为关键的一点,不管你拥有多么先进的技术、多么高端的人才或是多么强大的合作伙伴,如果利益相关方不关心安全,那么其实各位也不要太费心去做安全,其本身就是一种自上而下的治理方法,没有上层支持和推动,安全工作不会创造任何价值。

二、对威胁检测与响应功能的关注使得SOC部署和优化的热度再次上升

SOC 吹了有好多年,目前真正可以拿来作为最佳实践的案例却不多,介于目前攻防回合制过家家的打法(你黑我一下,我防你一手,我再找洞,你再修补),预计这种僵持的局面可能会持续很久,何时能够打破僵局,出现一种新的安全防护手段将是关键。

既然还身处这样的环境,那么就事论事,必须做好当前的安全工作。从市场预测来看,SOC 已经不算新鲜,市场真正关注的是威胁检测与响应,非传统的态势感知,哪些都是吹出来的,目前还没有真正可称为态势感知的系统。结合如今 0day 黑产地下乱窜,APT 和钓鱼放长线,社工和羊毛党随处可见的时代,检测和响应的及时性和准确性是关键,能够第一时间组织损失,这是企业最为关心的事。

三、领军企业利用数据安全治理框架来确定数据安全投资的优先级

随着《GDPR》出台,一年来效果显着,确实起到了一定的约束效力。但对于企业来说,并没有几家公司能做好数据安全,目前除了加密就是 DLP,全是被动手段,距离真正的数据治理还有很大差距。前些年提出的数据生命周期,是一个比较好的概念和理论框架,虽然费时费力,但从长远来看,企业越大,数据治理的必要性就越强,不做是不可能的。那么既然早晚都要做,不如早些起步,以免海量数据堆积起来再想开始就真的难了,只是一个数据分类分级就需要大量人力投入。

四、受需求和生物识别技术可用性以及基于硬件的强认证方式驱动,无密码认证开始引领市场

为何无密码认证会引领市场,其实想想也是一种趋势,就好比云一样。举个例子,一个人在多个平台会拥有多个账号,目前不可能做到一账通,未来 10 年怕也是不可能。那么,每个平台对应的账号都有密码要求,有些还好,可能 6 位就可以,也不限制复杂度,而有些平台安全策略较高,要求至少 8 位,且必须包含某些复杂字符,那么接下来问题来了。一个人加入拥有 10 个账号,如果所有账号都用一个密码,肯定不安全;如果大多数账户密码不同,那么要记住这些密码对于一般人来说有些困难,不少人会记在本上或是存在一个文本里,那么这又存在安全隐患,被泄露只是时间问题。所以,无密码登录必然是未来的趋势,通过生物识别配合随机机制认证(类似手机扫码登录,不过比这要复杂一点),这是相对安全而且也是用户希望的。

未来几年,无密码认证服务可能会拥有非常广泛的市场份额。

五、安全厂商增值服务提供持续增长,以帮助客户获取更多短期价值并提供技能培训

Gartner 最近一直强调客户体验,如何做好大客户服务,可见未来市场信息类服务会越来越多,那么哪家做得好,用户口碑好,就是最核心的竞争优势。抛开传统服务,安全厂商开始持续开发增值服务,之前看到的 XaaS 就是其中的一个例子,不只是 IaaS、 PaaS、 SaaS,云上整体解决方案,说白了,你只要说一句我家系统要上云,好了,其他您甭管嘞,厂商全给你做好,从前期需求、方案、迁移、部署、上线、测试、安全、运维,您只要掏钱跟我提需求就 OK。这是 Gartner 在今年 3 月提出一种新的云上服务方式。

六、云计算已成为主流平台,领军企业不断投资和完善自己的云安全能力

云平台称为趋势已成必然,由于信息系统量级,需要逐步迁移,但以目前全球国家大型云服务提供商的服务水平来看,暂时可能还难以提供全方位的支持。阿里云,去年多次故障,严重影响客户;腾讯云,对于技术问题一刀切,客户满意度降低;亚马逊云,数据泄露,外加几年光缆被挖断,部分地区服务中断;以上只是运维方面的问题,在安全方面,各家也还是采用堆叠式被动防御,提供一堆安全产品,客户自行选择购买,虽说是云平台,高端大气,未来趋势,但依旧没有创新,和传统网络安全也没太大本质区别。何时能够由被动转为真正的主动式防御,真正为客户着想,安下心来做好安全,这时才能成为成熟的云计算平台。

七、CARTA 安全战略在传统安全市场开始崭露头角

最近两年,自从 Gartner 提出 CARTA 这个词以后,就一直在主推它。什么是 CARTA,这里简单说一下。

CARTA:Continuous Adaptive Risk and Trust Assessment,持续自适应风险与信任评估。Gartner 推出了一个称作 CARTA 的战略方法,强调要持续地和自适应地对风险和信任两个要素进行评估。

风险,是指判定网络中安全风险,包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题,力图识别出坏人(攻击、漏洞、威胁等)。说到风险,我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据,譬如以威胁为核心、数据驱动,等等,以风险为核心感觉过时了一样。其实,安全还真是要时时以风险为核心!数据、威胁、攻击、漏洞、资产,都是风险的要素和支撑。我们检测攻击,包括高级攻击,最终还是为了评估风险。

信任,是指判定身份,进行访问控制。持续自适应信任评估是从访问控制的角度看问题,力图识别出好人(授权、认证、访问)。

自适应,就是指我们在判定风险(包括攻击)的时候,不能仅仅依靠阻止措施,我们还要对网络进行细致地监测与响应,这其实就是 ASA 自适应安全架构的范畴。另一方面,在我们进行身份与访问控制的时候,也不能仅仅依靠简单的凭据,还需要根据访问的上下文和访问行为进行综合研判,动态赋权、动态变更权限。

持续,就是指这个风险和信任的研判过程是持续不断,反复多次进行的。CARTA 强调对风险和信任的评估分析,这个分析的过程就是一个权衡的过程。天平很形象地阐释了 “权衡” (Balance) 一词。权衡的时候,切忌完美 (Perfect),不能要求零风险,不能追求 100% 信任,否则业务就没法开展了。好的做法是不断地在 0 和 1 之间调整。

CARTA 能够从运行、构建和规划三个维度(反着讲)来分别分析客户的业务系统如何运用 CARTA 战略方法。这里最厉害之处是 Gartner 将几乎所有他们以往定义的技术细分领域都囊括其中,而且十分自洽。

运行,自适应访问和自适应保护

访问,就是从信任的角度去进行访问控制;保护,就是从风险的角度去进行防御。

自适应保护其实就对应了 Gartner 的自适应安全架构。

在谈及保护的时候,Gartner 提到了一个响亮的观点:利用纵深分析(Analytics indepth)和自动化来进行保护。

1)纵深分析:这是一个从纵深防御演进而来的术语,强调了随着安全问题逐渐变成大数据问题, 而大数据问题正在转变成大分析问题,进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判,动态地去进行风险与信任评估,同时还要将不同纵深的数据进行融合分析。而所有这些分析,都是为了更好的检测,而检测是属于防护的一环(跟阻断、响应一起)。

2)自动化:在安全保护中,自动化的本质是为了为快速的响应。

总结

最后,以安全基础工作为结尾,在 Gartner2018 十大安全项目就提出了,企业如果想搞这些比较新的项目之前,要先看看自己的基础安全做得如何,其中包括:

1) 已经有了较为先进的 EPP (Endpoint Protection Platform,端点保护平台),具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;

2) 已经做好了基本的 Windows 账户管理工作;

3) 已经有了 IAM (Identity and Access Management 的缩写),即 “身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

4) 有了常规化的补丁管理;

5) 已经有了标准化的服务器/云工作负载保护平台代理;

6) 具备较为强健的反垃圾邮件能力;

7) 部署了某种形式的 SIEM 或者日志管理解决方案,具有基本的检测/响应能力;

8) 建立了备份/恢复机制;

9) 有基本的安全意识培训;

10) 具备基本的互联网出口边界安全防护能力,包括 URL 过滤能力;

各位,这些工作是否都已经做到做好了呢?

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论