Gartner：2018年最值得投入的十大安全项目

首席信息安全官们应致力于下述十大安全项目，以降低风险，进而大幅促进企业业务发展。

一家环球银行的一位新上任首席信息安全官正疲于应对其无穷无尽的待办事项。他知道他不可能完成所有的事情，但是还是在尽力降低这不计其数的潜在安全项目数量。

Gartner 研究副总裁兼杰出分析师 Neil MacDonald 在 2018 Gartner 安全与风险管理峰会（美国马里兰州国家港口召开）上谈道：“须致力于那些能够最大幅度降低风险并能够对业务产生最大影响的项目上”。

为了帮助首席信息安全官们着手实施， MacDonald 先生分享了 2018 年 Gartner 为安全团队建议的十大新项目。 MacDonald 还解释道：“这些都是独立的项目，而非项目集。它们各自都有真正的基础技术”。他还谈道，对于大多数首席信息安全官来说，这些项目都是新鲜事物，企业采用率还不到 50% 。

（ Gartner 研究副总裁兼杰出分析师 Neil MacDonald 在 2018 Gartner 安全与风险管理峰会上解释首席信息安全官们应该关注的十大安全项目。）

项目1：特权账户管理

该项目旨在更好地防御攻击者访问特权账户，并能够让安全团队对非常规访问事件进行监控。至少，首席信息安全官应该为所有账户管理员都进行强制性多重身份验证（ MFA ）。 Gartner 还建议在第三方访问，比如承包商访问时，也进行多重身份验证。

提示：首先使用以风险为基础的方法（高价值、高风险）系统。进行行为监视。

项目2：持续性适应风险与风险信任评估支持的漏洞管理

主要支撑于 Gartner 的 持续性适应风险与风险信任评估（ CARTA ）方法 ，该项目是解决漏洞管理问题的良好途径，且该项目还具有大幅降低风险的潜力。当修补过程被破坏且信息技术运营无法解决大量的漏洞问题时，可以考虑使用该项目。也许您不能完全修补所有漏洞，但是通过对风险管理重要性进行排序，您能够大幅度降低风险。

提示：要求您的虚拟助手 / 虚拟机供应商提供这一项目，并在您的分析中考虑风险缓解控制措施，例如，建立防火墙。

项目3：主动反钓鱼

该项目适用于那些员工长期遭受网络钓鱼攻击的公司。该项目要求采用一个三管齐下的策略：技术控制、终端用户控制以及流程再设计。使用技术控制措施尽可能阻拦更多的网络钓鱼攻击。但是，同时也让用户成为防御策略中的活跃部分。

提示：不要因为犯错就将一些团体或个人排除在此项目外；注意那些行为无误的个体。咨询您的电子邮件安全供应商是否能承担这个项目。如果不能，为什么不能？

项目4：将程序控制应用到服务器负载中

该项目适用于那些寻求服务器负载“默认拒绝”或零信任安全态势的企业。该项目可以使用应用程序控制措施阻止大多数恶意软件安装，因为这些软件都没有列在白名单中。“这是一种强有力的安全态势”， MacDonald 谈道。该方案在防御 Spectre and Meltdown 中已经取得了成功。

提示：与综合储存保护结合使用。这对物联网 (IoT) 与不再受供应商支持的系统而言，是一个绝佳的项目。

项目5：网段微型化与数据流量可视化

该项目完全适用于那些无论是在网络会议还是基础设施即服务（ IaaS ）中使用平面网络技术的企业，因为，它们需要将数据中心的数据流量可视化并对其进行控制。该项目旨在阻止数据中心攻击的横向扩展。“当有不法分子访问网络时，该项目能够阻止其肆意访问”， MacDonald 先生解释道。

提示：将数据流量可视化作为网段微型化的第一步措施。但是，不要过度微型化。从关键的应用程序开始，并要求供应商支持本地微型化。

项目6：侦测与响应

该项目适用于那些明白泄露是无法避免的，且正在寻找端点、网络或基于用户的方法来获得高级威胁侦测、调查和响应能力的企业。可以从以下三种变量中进行选择：

• 终端防护平台 （ EPP ） + 增强型数据传输速率（ EDR ）

• 个体用户与实体行为分析（ UEBA ）

• 欺诈

对那些寻找深入的方法来加强其威胁侦测机制和高保真事件的企业而言，后者是一个规模较小但理想的新兴市场。

提示：促使终端防护平台提供商增强数据传输速率；促使 安全信息与事件管理（ SIEM ）提供商提供个体用户与实体行为分析（ UEBA ）能力。需要制定丰富的目标欺骗内容。考虑从提供商那里直接得到存储数据寄存器（ MDR ）“便捷”服务。

项目7：云安全态势管理（CSPM）

该项目适用于那些寻求对其 基础设施即服务 （ IaaS ）或 平台即服务 （ PaaS ）云安全态势进行全面、自动化评估，以识别存在过度风险领域的企业。企业可以从很多供应商中，包括 云端访问安全代理商 ，进行选择。

提示：如果您拥有的是单一的 基础设施即服务 （ IaaS ），首先考虑亚马逊或者微软。且使之成为对云安全态势管理提供商的一项要求。

项目8：自动化安全扫描

该项目适用于想要将安全控制措施纳入开发 - 运营模式工作流中的企业。从进行开源软件组合分析开始，将测试集成为开发 - 运营模式工作流（包括容器在内）中的无缝部分。

提示：别让开发商更换工具。将实现自动化的全应用程序接口（ API ）列为一项要求。

项目9：云端访问安全代理商（CASB）

该项目适用于那些员工流动性较强，且寻找对多企业、基于云的服务进行可视化以及基于策略的管理控制点的企业。

提示：利用数据发现证明该项目的可用性。将敏感数据发现与监控作为 2018 年与 2019 年的一个关键使用案例。

项目10：软件定义的界限

该项目适用于那些希望通过限制数字系统和信息曝光度，仅在外部合作伙伴、远程员工和承包商之间实现数字与信息可见，来降低攻击风险的企业。

提示：重新评估利用遗留虚拟专用网络（ VPN ）进行的访问。在 2018 年，使用与合作伙伴相关的数字业务服务作为用户案例进行试点部署。