2019年七大安全风险趋势分析

CISO 一直在努力阐明基于风险的决策的重要性，并发现为组织创建风险偏好声明是使 IT 风险管理与业务目标保持一致的最有效工具。创建简单、实用的风险偏好声明，可以使 CISO 打破安全团队和不同业务单元之间存在的脱节。这是 Gartner 预计将在 2019 年影响 CISO的七大安全和风险管理趋势之一。

一、SRM管理者持续发布以业务成果为导向的实用的风险偏好声明，有效提高了利益相关方的参与度

为应对当前的安全形势，风险管理逐渐提上日程，现在已经不仅仅是管理好漏洞那么简单了，还包括战略、市场、供应商、内控、财务、资源优化等多方面的风险（作为一个合规的 CIO，这些应该都有一定的了解。记得 Gartner 的一篇文章提到过 CIO 应该尽可能的参与到 CEO 和董事会的会议中去，能够向 CEO 和高层建议 IT 方面的一些有价值和创造性的建议，而不是等着上边来分派工作，每天只是搞搞 IT 和安全。）一些大型甲方已经开始建立自己的风控体系，尤其是电商公司，目前面对比较头疼的就是 DDoS 攻击、APT、0day、薅羊毛以及社工。如何应对这些风险将成为未来几年企业安全的重中之重，而且前几天的《网络安全漏洞管理规定（征求意见稿）》也提到了要做好风险管理。

这里所提到的风险偏好，类似金融行业投资者的投资偏好，主要反映企业对于安全的一个导向和重要指导方针，如何应对安全、预算是否充足、是否愿意向安全投资、能够或愿意接受的风险水平是怎样的？首先做好这些基础工作，才能开展后续各项部署、计划以及实施和监督改进。最后，也是最为关键的一点，不管你拥有多么先进的技术、多么高端的人才或是多么强大的合作伙伴，如果利益相关方不关心安全，那么其实各位也不要太费心去做安全，其本身就是一种自上而下的治理方法，没有上层支持和推动，安全工作不会创造任何价值。

二、对威胁检测与响应功能的关注使得SOC部署和优化的热度再次上升

SOC 吹了有好多年，目前真正可以拿来作为最佳实践的案例却不多，介于目前攻防回合制过家家的打法（你黑我一下，我防你一手，我再找洞，你再修补），预计这种僵持的局面可能会持续很久，何时能够打破僵局，出现一种新的安全防护手段将是关键。

既然还身处这样的环境，那么就事论事，必须做好当前的安全工作。从市场预测来看，SOC 已经不算新鲜，市场真正关注的是威胁检测与响应，非传统的态势感知，哪些都是吹出来的，目前还没有真正可称为态势感知的系统。结合如今 0day 黑产地下乱窜，APT 和钓鱼放长线，社工和羊毛党随处可见的时代，检测和响应的及时性和准确性是关键，能够第一时间组织损失，这是企业最为关心的事。

三、领军企业利用数据安全治理框架来确定数据安全投资的优先级

随着《GDPR》出台，一年来效果显著，确实起到了一定的约束效力。但对于企业来说，并没有几家公司能做好数据安全，目前除了加密就是 DLP，全是被动手段，距离真正的数据治理还有很大差距。前些年提出的数据生命周期，是一个比较好的概念和理论框架，虽然费时费力，但从长远来看，企业越大，数据治理的必要性就越强，不做是不可能的。那么既然早晚都要做，不如早些起步，以免海量数据堆积起来再想开始就真的难了，只是一个数据分类分级就需要大量人力投入。

四、受需求和生物识别技术可用性以及基于硬件的强认证方式驱动，无密码认证开始引领市场

为何无密码认证会引领市场，其实想想也是一种趋势，就好比云一样。举个例子，一个人在多个平台会拥有多个账号，目前不可能做到一账通，未来 10 年怕也是不可能。那么，每个平台对应的账号都有密码要求，有些还好，可能 6 位就可以，也不限制复杂度，而有些平台安全策略较高，要求至少 8 位，且必须包含某些复杂字符，那么接下来问题来了。一个人加入拥有 10 个账号，如果所有账号都用一个密码，肯定不安全；如果大多数账户密码不同，那么要记住这些密码对于一般人来说有些困难，不少人会记在本上或是存在一个文本里，那么这又存在安全隐患，被泄露只是时间问题。所以，无密码登录必然是未来的趋势，通过生物识别配合随机机制认证（类似手机扫码登录，不过比这要复杂一点），这是相对安全而且也是用户希望的。

未来几年，无密码认证服务可能会拥有非常广泛的市场份额。

五、安全厂商增值服务提供持续增长，以帮助客户获取更多短期价值并提供技能培训

Gartner 最近一直强调客户体验，如何做好大客户服务，可见未来市场信息类服务会越来越多，那么哪家做得好，用户口碑好，就是最核心的竞争优势。抛开传统服务，安全厂商开始持续开发增值服务，之前看到的 XaaS 就是其中的一个例子，不只是 IaaS、 PaaS、 SaaS，云上整体解决方案，说白了，你只要说一句我家系统要上云，好了，其他您甭管嘞，厂商全给你做好，从前期需求、方案、迁移、部署、上线、测试、安全、运维，您只要掏钱跟我提需求就 OK。这是 Gartner 在今年 3 月提出一种新的云上服务方式。

六、云计算已成为主流平台，领军企业不断投资和完善自己的云安全能力

云平台称为趋势已成必然，由于信息系统量级，需要逐步迁移，但以目前全球国家大型云服务提供商的服务水平来看，暂时可能还难以提供全方位的支持。阿里云，去年多次故障，严重影响客户；腾讯云，对于技术问题一刀切，客户满意度降低；亚马逊云，数据泄露，外加几年光缆被挖断，部分地区服务中断；以上只是运维方面的问题，在安全方面，各家也还是采用堆叠式被动防御，提供一堆安全产品，客户自行选择购买，虽说是云平台，高端大气，未来趋势，但依旧没有创新，和传统网络安全也没太大本质区别。何时能够由被动转为真正的主动式防御，真正为客户着想，安下心来做好安全，这时才能成为成熟的云计算平台。

七、CARTA 安全战略在传统安全市场开始崭露头角

最近两年，自从 Gartner 提出 CARTA 这个词以后，就一直在主推它。什么是 CARTA，这里简单说一下。

CARTA：Continuous Adaptive Risk and Trust Assessment，持续自适应风险与信任评估。Gartner 推出了一个称作 CARTA 的战略方法，强调要持续地和自适应地对风险和信任两个要素进行评估。

风险，是指判定网络中安全风险，包括判定攻击、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题，力图识别出坏人（攻击、漏洞、威胁等）。说到风险，我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据，譬如以威胁为核心、数据驱动，等等，以风险为核心感觉过时了一样。其实，安全还真是要时时以风险为核心！数据、威胁、攻击、漏洞、资产，都是风险的要素和支撑。我们检测攻击，包括高级攻击，最终还是为了评估风险。

信任，是指判定身份，进行访问控制。持续自适应信任评估是从访问控制的角度看问题，力图识别出好人（授权、认证、访问）。

自适应，就是指我们在判定风险（包括攻击）的时候，不能仅仅依靠阻止措施，我们还要对网络进行细致地监测与响应，这其实就是 ASA 自适应安全架构的范畴。另一方面，在我们进行身份与访问控制的时候，也不能仅仅依靠简单的凭据，还需要根据访问的上下文和访问行为进行综合研判，动态赋权、动态变更权限。

持续，就是指这个风险和信任的研判过程是持续不断，反复多次进行的。CARTA 强调对风险和信任的评估分析，这个分析的过程就是一个权衡的过程。天平很形象地阐释了 “权衡” (Balance) 一词。权衡的时候，切忌完美 (Perfect)，不能要求零风险，不能追求 100% 信任，否则业务就没法开展了。好的做法是不断地在 0 和 1 之间调整。

CARTA 能够从运行、构建和规划三个维度（反着讲）来分别分析客户的业务系统如何运用 CARTA 战略方法。这里最厉害之处是 Gartner 将几乎所有他们以往定义的技术细分领域都囊括其中，而且十分自洽。

运行，自适应访问和自适应保护

访问，就是从信任的角度去进行访问控制；保护，就是从风险的角度去进行防御。

自适应保护其实就对应了 Gartner 的自适应安全架构。

在谈及保护的时候，Gartner 提到了一个响亮的观点：利用纵深分析（Analytics indepth）和自动化来进行保护。

1）纵深分析：这是一个从纵深防御演进而来的术语，强调了随着安全问题逐渐变成大数据问题， 而大数据问题正在转变成大分析问题，进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判，动态地去进行风险与信任评估，同时还要将不同纵深的数据进行融合分析。而所有这些分析，都是为了更好的检测，而检测是属于防护的一环（跟阻断、响应一起）。

2）自动化：在安全保护中，自动化的本质是为了为快速的响应。

总结

最后，以安全基础工作为结尾，在 Gartner2018 十大安全项目就提出了，企业如果想搞这些比较新的项目之前，要先看看自己的基础安全做得如何，其中包括：

1) 已经有了较为先进的 EPP (Endpoint Protection Platform，端点保护平台），具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能；

2) 已经做好了基本的 Windows 账户管理工作；

3) 已经有了 IAM (Identity and Access Management 的缩写），即 “身份识别与访问管理”，具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。

4) 有了常规化的补丁管理；

5) 已经有了标准化的服务器/云工作负载保护平台代理；

6) 具备较为强健的反垃圾邮件能力；

7) 部署了某种形式的 SIEM 或者日志管理解决方案，具有基本的检测/响应能力；

8) 建立了备份/恢复机制；

9) 有基本的安全意识培训；

10) 具备基本的互联网出口边界安全防护能力，包括 URL 过滤能力；

各位，这些工作是否都已经做到做好了呢？

参考资料：

《Gartner Top 7 Security and Risk Trends for 2019》原文:

https://www.gartner.com/smarterwithgartner/gartner-top-7-security-and-risk-trends-for-2019/

《Gartner 2019 十大安全项目》原文:

https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projectsfor-2019/

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。