重要事件回顧，智覽網(wǎng)安行業(yè)發(fā)展。近日國內外網(wǎng)安行業(yè)發(fā)生了哪些重要事件，呈現(xiàn)出了怎樣的發(fā)展態(tài)勢呢？雜志社聯(lián)合中國網(wǎng)安科技情報研究團隊將從行業(yè)大角度出發(fā)，帶領大家回顧近日國內外行業(yè)的重要事件，探究其中的發(fā)展態(tài)勢。

　　事件概覽：

　　1、移動互聯(lián)網(wǎng)應用程序（APP）個人信息保護治理白皮書發(fā)布

　　2、 IDC發(fā)布《中國政府行業(yè)IT安全軟件市場份額報告》

　　3、騰訊迎來最嚴APP監(jiān)管！

　　4、英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件

　　5、CISA發(fā)布聯(lián)邦政府網(wǎng)絡安全事件和漏洞應對行動手冊

　　6、美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡云基礎設施安全指南》第I部分

　　7、歐盟加入《網(wǎng)絡空間信任與安全巴黎倡議》

　　8、澳大利亞投資人工智能技術研發(fā)以建設國防軍事能力

　　9、美國國會研究服務局向美國會提交《國防入門：美國關于致命性自主武器系統(tǒng)的政策》報告

　　10、美國司法部通過“民事網(wǎng)絡欺詐專項”強化針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡安全執(zhí)法力度

　　11、美英等國發(fā)出嚴重警告，微軟、Fortinet的漏洞正在被“濫用”

　　12、美國國會研究處發(fā)布《網(wǎng)絡安全：2012年至2021年網(wǎng)絡攻擊》的報告

　　13、Gartner發(fā)布當前需關注的八大安全和風險趨勢

　　國內

　　01

　　移動互聯(lián)網(wǎng)應用程序（APP）個人信息保護治理白皮書發(fā)布

　　11月22日，在工業(yè)和信息化部指導下，中國信息通信研究院組織編寫了《移動互聯(lián)網(wǎng)應用程序（APP）個人信息保護治理白皮書》（以下簡稱“白皮書”）。

　　白皮書中內容指出，從2012年開始到2021年，國家陸續(xù)推出并施行了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》，意味著當前國家關于個人信息保護法律制度的頂層設計基本形成，而在針對行業(yè)領域個人信息保護方面，相關管理規(guī)定也在積極的推進過程之中。

　　白皮書顯示，在過去一段時間中依靠專項整治的方式，用戶權益保護明顯改善，截至目前已開展的21批次專項抽查中，累計通知了5406款應用進行整改，公開通報2049款整改不到位，有540款應用被下架處置。

　　關于未來繼續(xù)縱深推進APP個人信息保護治理工作方面，白皮書給出了一些建議。

　?。?）修訂完善部門規(guī)章和管理規(guī)定，如將《個人信息保護法》的制度要求轉化為各行業(yè)各領域的具體規(guī)則，同時加快出臺APP個人信息保護專門規(guī)則，推動相關標準體系的持續(xù)完善，從而實現(xiàn)補齊短板，持續(xù)完善監(jiān)管制度依據(jù)的目的。

　?。?）需要加強協(xié)同，建立健全聯(lián)動治理機制，包括各主管部門之間的協(xié)調治理機制、中央和地方建立部省聯(lián)動治理機制以及專項治理與長效治理結合治理機制，從而實現(xiàn)“全流程、全鏈條、全主體”監(jiān)管，有效提升行業(yè)領域個人信息保護監(jiān)管水平。

　?。?）要通過落實技術創(chuàng)新主體責任、優(yōu)化技術檢測平臺系統(tǒng)建設以及規(guī)范技術檢測工作流程的方式，充分發(fā)揮優(yōu)勢，提升技術手段治理的效能。

　?。?）要形成政府、企業(yè)、相關社會組織、公眾共同參與個人信息保護的良好環(huán)境，形成多元共治的局面，推動行業(yè)發(fā)展行穩(wěn)致遠。

　　02

　　IDC發(fā)布《中國政府行業(yè)IT安全軟件市場份額報告》

　　北京，2021年11月25日—— 2020 年新冠疫情爆發(fā)，全球各國都在努力控制疫情的同時，經(jīng)濟活動有所放緩。同時，勒索軟件相關攻擊正在增加，攻擊者不但勒索贖金，并威脅公開竊取的數(shù)據(jù)。國家加快了安全相關法律法規(guī)的制定，驅動和規(guī)范了政府企業(yè)安全相關的組織、人員、系統(tǒng)的建設。2020年IT安全的整體增長率較2019年有所放緩，傳統(tǒng)網(wǎng)絡安全軟件如終端反病毒軟件、本地化身份認證等產(chǎn)品在2020年的發(fā)展遭遇較大阻力。但在云市場的強力帶動下，政府采用云上的安全軟件產(chǎn)品，如軟件安全網(wǎng)關（UTM、WAF等）、身份認證和管理、主機安全等保持了高速發(fā)展態(tài)勢。

　　IDC認為，在中國政府行業(yè)IT安全軟件市場主動防御成為新重點。在傳統(tǒng)信息安全防御體系中，無論是信息安全硬件還是軟件，防御技術都已經(jīng)無法滿足各類新興網(wǎng)絡安全防護需求。面向信息系統(tǒng)應用層的滲透攻擊，傳統(tǒng)防火墻束手無策；面向內網(wǎng)的零日攻擊，殺毒軟件和數(shù)據(jù)防泄漏（DLP） 軟件無法識別；面向新型的大數(shù)據(jù)、云安全，傳統(tǒng)信息安全防御體系更是束手無策。傳統(tǒng)的被動防御難以應對全球數(shù)字化轉型趨勢下的網(wǎng)絡安全保障需求，各廠商積極構建主動安全防御體系，服務于各政府部門。

　　03

　　騰訊迎來最嚴APP監(jiān)管！

　　11月24日，一張顯示“騰訊主體下所有APP將暫停更新”的圖片在網(wǎng)絡上流傳。安全內參關注到最新消息，工信部正在對騰訊采取過渡性的行政指導措施，要求其旗下所有APP需檢測合規(guī)后才可更新。

　　據(jù)中央廣播電視總臺央視記者從工信部了解到，今年以來，在工信部開展的App侵害用戶權益專項整治中，騰訊公司旗下9款產(chǎn)品存在違規(guī)行為，共計4批次被公開通報，違反了2021年信息通信業(yè)行風糾風相關要求。按照有關部署，工信部對騰訊公司采取過渡性的行政指導措施，要求對于即將發(fā)布的App新產(chǎn)品，以及既有App產(chǎn)品的更新版本，上架前需經(jīng)工信部組織技術檢測，檢測合格后正常上架。

　　國外

　　01

　　英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件

　　11月22日，英國戰(zhàn)略司令部發(fā)布《戰(zhàn)略司令部戰(zhàn)略》文件，闡述了戰(zhàn)略司令部將采用綜合技術和以數(shù)據(jù)為核心的方法，整合作戰(zhàn)人員、裝備和相關信息，建立一支行動敏捷和精確的綜合部隊，以應對多變復雜的未知環(huán)境。到2030年，基本形成應對威脅變化所需的泛在敏捷防御能力，為國家戰(zhàn)略優(yōu)勢做出重大貢獻。通過持續(xù)的前沿部署、改進網(wǎng)絡和先進情報、監(jiān)視和偵察（ISR）能力實現(xiàn)實時態(tài)勢感知；利用改進空間和網(wǎng)絡能力，通過可靠安全戰(zhàn)略通信進行未來戰(zhàn)場協(xié)調、溝通和指揮。

　　02

　　CISA發(fā)布聯(lián)邦政府網(wǎng)絡安全事件和漏洞應對行動手冊

　　CisaGov網(wǎng)站11月16日消息，網(wǎng)絡安全和基礎設施安全局（CISA）發(fā)布了聯(lián)邦政府網(wǎng)絡安全事件和漏洞應對行動手冊。該手冊為聯(lián)邦民事機構提供了一套標準程序，以應對影響聯(lián)邦民事行政部門網(wǎng)絡的漏洞和事件。事件響應手冊適用于已確認的惡意網(wǎng)絡活動的事件，以及已經(jīng)宣布或尚未合理排除的重大事件。漏洞應對手冊適用于任何被觀察到的、被對手用來未經(jīng)授權進入計算資源的漏洞。？該手冊建立在CISA的約束性操作指令22-01的基礎上，并規(guī)范了應對這些對聯(lián)邦政府、私營和公共部門構成重大風險的漏洞時應遵循的高級流程。CISA打算不僅為聯(lián)邦政府，而且為公共和私營部門的實體加強網(wǎng)絡安全響應實踐和操作程序。？這兩本手冊包含了事件響應、事件響應準備和漏洞響應的核對表，可適用于任何組織，以跟蹤必要的活動完成情況。

　　03

　　美NSA和CISA聯(lián)合發(fā)布《5G網(wǎng)絡云基礎設施安全指南》第I部分

　　近日，美國國家安全局（NSA）和網(wǎng)絡安全與基礎設施安全局（CISA）近期發(fā)布了《5G網(wǎng)絡云基礎設施安全指南第I部分：防止和檢測橫向移動》（以下簡稱“指南”）。

　　該指南圍繞零信任理念展開，主要面向參與構建和配置5G云基礎設施的服務提供商和系統(tǒng)集成商，關注安全隔離網(wǎng)絡資源、數(shù)據(jù)保護以及確保云基礎架構的完整性等重點問題，涉及包括云環(huán)境下的邊界加固防護、內生安全、軟件安全、API安全等在內的六大重點內容：

　　（1）身份認證和訪問管理

　　企業(yè)組織無論部署任何種類的訪問控制模型，虛擬機（VM）、容器或其他產(chǎn)品，其目的都是為了能夠充分緩解5G云環(huán)境中的漏洞和橫向移動的威脅。從IAM的角度來看，統(tǒng)一身份認證、最小訪問控制權限、多因素身份驗證等基本的安全控制和實踐可以大有作為。企業(yè)組織可使用證書來實現(xiàn)傳輸層安全（mTLS）和證書鎖定，以驗證證書持有者的身份。除此之外，借助日志記錄快速識別異常行為，并及時實施自動修復功能也很重要。

　?。?）及時更新軟件

　　云環(huán)境復雜性強的原因之一是大量的軟件源，其中包括為5G云消費者提供服務的開源和專有軟件。因此，5G云供應商實施穩(wěn)健安全的軟件開發(fā)流程至關重要，例如建立NIST的安全軟件開發(fā)框架（SSDF）以及成熟的漏洞管理程序和操作流程。該漏洞管理程序應包含所有公開已知的漏洞（無論是否有補?。⒘闳章┒?，程序還應具備補丁管理功能。

　?。?）安全的5G網(wǎng)絡配置

　　企業(yè)組織的云安全部署可能各不相同，并且有很多層，例如虛擬私有云（VPC）、主機、容器和Pod。因此建議企業(yè)組織根據(jù)資源敏感性的區(qū)別對資源進行分組，并通過微分段限制爆炸半徑。

　　網(wǎng)絡配置和通信隔離是5G網(wǎng)絡環(huán)境下云安全防護的關鍵所在。由于云的多租戶性質和軟件定義網(wǎng)絡 （SDN） 的引入，需要一種新型的、可實現(xiàn)的、穩(wěn)定的安全防護方法。指南建議使用云原生功能（例如網(wǎng)絡訪問控制列表和防火墻規(guī)則）來正確限制網(wǎng)絡路徑，這對防止攻擊者在云環(huán)境中橫向移動具有關鍵意義，因為，如果攻擊者破壞了單個VPC或子網(wǎng)，這可以避免它成為攻擊者在云環(huán)境中繼續(xù)攻擊其他VPC和子網(wǎng)的樞紐點。

　　指南的其他建議還包括，通過防火墻的的默認拒絕條款和出入站流量的訪問控制列表，以及通過使用服務網(wǎng)格來控制東西向流量。

　　（4）鎖定隔離網(wǎng)絡功能之間的通信

　　雖然5G云環(huán)境的網(wǎng)絡實施和架構非常復雜，但還應確保所有通信會話都經(jīng)過適當授權和加密。如開篇所述，企業(yè)組織應積極使用微分段，以最小化環(huán)境中任何特定網(wǎng)絡分段危害的“爆炸半徑”。

　?。?）監(jiān)測橫向移動威脅

　　5G網(wǎng)絡環(huán)境下的云安全離不開適當?shù)谋O(jiān)控、檢測、警報和補救措施，涉及監(jiān)控用戶行為異常和可疑網(wǎng)絡流量行為等活動，例如與已知錯誤的外部地址通信。

　?。?）引入AI等新型技術

　　復雜且動態(tài)的5G云環(huán)境需要使用增強的技術和功能來進行安全防護，以適應5G活動和遙測的規(guī)模，例如AI技術等。在許多復雜的云原生環(huán)境中，安全團隊根本無法跟上活動的范圍或規(guī)模。通過使用CSP和第三方功能，安全團隊可憑借自動化技術來速識別和限制惡意活動。自動化是實施零信任架構的關鍵支柱，5G云安全也是如此。

　　04

　　歐盟加入《網(wǎng)絡空間信任與安全巴黎倡議》

　　11月11日，歐盟委員會主席馮德萊恩在巴黎和平論壇上發(fā)表講話，宣布歐盟與其27個成員國一起加入《網(wǎng)絡空間信任與安全巴黎倡議》。在網(wǎng)絡安全方面，歐盟委員會已經(jīng)提議修訂歐洲網(wǎng)絡安全法，以加強對關鍵部門的網(wǎng)絡安全要求，并宣布了歐洲網(wǎng)絡彈性法案。在人工智能方面，歐盟的《人工智能法案》將專注于醫(yī)療、執(zhí)法或就業(yè)等高風險領域，并為歐盟市場上的產(chǎn)品設定標準。馮德萊恩主席在講話結束時呼吁對數(shù)字平臺負責，以及歐盟在這方面正在采取的步驟。她強調如果大型平臺的算法傳播仇恨言論、非法內容或虛假信息，那么這些算法必須做出改變。歐盟委員會已經(jīng)提出了《數(shù)字服務法案》，為歐盟成員國提供了監(jiān)管這一領域的工具。

　　05

　　澳大利亞投資人工智能技術研發(fā)以建設國防軍事能力

　　英國陸軍技術網(wǎng)站2021年11月18日報道，澳大利亞政府宣布，澳大利亞國防創(chuàng)新中心將撥款727萬美元用于支持新的人工智能技術研發(fā)。這項投資將擴大澳國防軍的軍事能力，并支持新的“關鍵技術藍圖和行動計劃” （11月17日由澳總理公布），旨在增加關鍵技術帶來的經(jīng)濟機會并應對國家安全風險。人工智能已被澳大利亞政府列為關涉國家利益的九項關鍵技術之一，根據(jù)澳政府的關鍵技術計劃，澳國防工業(yè)部長梅麗莎·普萊斯宣布了十項新的國防創(chuàng)新中心合同，這些合同將有助于開發(fā)新的人工智能技術。新的人工智能技術將通過使用澳國防部的情報任務數(shù)據(jù)來提高態(tài)勢感知能力，并通過智能化的虛擬現(xiàn)實來增強作戰(zhàn)人員的模擬、建模和培訓來實現(xiàn)，將改善澳軍的訓練和作戰(zhàn)方式。吸引人工智能行業(yè)的企業(yè)與國防部門合作是實現(xiàn)這一目標的重要舉措，本次授出的合同也將促進澳大利亞企業(yè)的發(fā)展，幫助澳大利亞建立并強化技術主權，使其能夠開發(fā)并將領先的人工智能技術整合到澳大利亞國防力量中。

　　06

　　美國國會研究服務局向美國會提交《國防入門：美國關于致命性自主武器系統(tǒng)的政策》報告

　　美國國會研究服務局2021年11月17日向國會提交《國防入門：美國關于致命自主武器系統(tǒng)政策》報告。報告認為，致命自主武器系統(tǒng) （LAWS）是一類特殊的武器系統(tǒng)，其使用傳感器套件和計算機算法來獨立識別目標，并使用機載武器系統(tǒng)來攻擊和摧毀目標，而無需人工控制系統(tǒng)。雖然致命自主武器系統(tǒng)還沒有得到廣泛的發(fā)展，但它們將能在傳統(tǒng)系統(tǒng)無法運行的通信惡劣或被拒止的環(huán)境中進行軍事行動。

　　致命自主武器系統(tǒng)（致命自主武器系統(tǒng)）是一類特殊的武器系統(tǒng)，它使用傳感器套件和計算機算法自主識別目標，并使用機載武器系統(tǒng)攻擊和摧毀目標，無需人工控制系統(tǒng)。致命自主武器系統(tǒng)尚未得到廣泛開發(fā)，但它們將能在傳統(tǒng)系統(tǒng)無法運行的通信降級或被拒止的環(huán)境中進行軍事行動。

　　與許多新聞報道相反，美國的政策并未禁止開發(fā)或使用致命自主武器系統(tǒng)。美國目前的武器清單中尚無致命自主武器系統(tǒng)，但一些高級軍事和國防領導人表示，如果美國的競爭對手選擇開發(fā)或使用致命自主武器系統(tǒng)，美國未來將被迫開發(fā)致命自主武器系統(tǒng)。與此同時，越來越多的國家和非政府組織出于道德考慮，呼吁國際社會管制或禁止致命自主武器系統(tǒng)。自主武器技術的發(fā)展和國際法律討論可能對國會監(jiān)督、國防投資、軍事作戰(zhàn)概念、條約制定和戰(zhàn)爭未來產(chǎn)生影響。

　　07

　　美國司法部通過“民事網(wǎng)絡欺詐專項”強化針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡安全執(zhí)法力度

　　近日，美國司法部目前正在強化其針對美國聯(lián)邦政府承包商及資助接受方的網(wǎng)絡安全執(zhí)法力度——若這兩個從美國聯(lián)邦政府獲得資助的群體無法滿足美國政府網(wǎng)絡安全標準的要求，那么將面臨來自美國司法部依照美國《虛假陳述法案》所施加的嚴厲懲罰。這個專項行動將由美國司法部民事部門商業(yè)訴訟分部（Commercial Litigation Branch）牽頭開展。

　　美國司法部副部長麗莎。莫納克（Lisa Monaco）上月在一份聲明中指出，“虛假陳述法案”將是美國聯(lián)邦政府用于懲處涉及美國政府項目及運作相關聯(lián)邦基金或財產(chǎn)之虛假陳述行為的主要法律工具，而“民事網(wǎng)絡欺詐專項”將讓那些“讓美國政府系統(tǒng)或信息陷于危險境地”的實體或個人付出代價；美國司法部目前已在“民事網(wǎng)絡欺詐專項”框架內組織其網(wǎng)絡欺詐執(zhí)法、政府采購及網(wǎng)絡安全三大領域的專業(yè)力量，以打擊試圖損害美國政府關鍵系統(tǒng)和敏感信息的“新型網(wǎng)絡威脅”；美國司法部將與美國聯(lián)邦政府其他機構、領域專家及執(zhí)法機構密切配合，加強網(wǎng)絡安全執(zhí)法力度。

　　雖然美國司法部不會披露其當前在“民事網(wǎng)絡欺詐專項”框架內開展調查的案子數(shù)量，但行業(yè)人士認為，美國司法部可能將著重調查以下三類網(wǎng)絡安全問題：

　?、俟室馓峁┐嬖谌毕莸木W(wǎng)絡安全產(chǎn)品或服務；

　?、谘谏w其實施網(wǎng)絡安全建設的真實情況；

　?、鄄m報網(wǎng)絡攻擊及入侵事件。

　　美國司法部啟動“民事網(wǎng)絡欺詐專項”將迫使美國聯(lián)邦政府承包商及資助接受方加強網(wǎng)絡安全方面的合規(guī)建設，雖然早在1863年就獲得通過的《虛假陳述法案》并不是一個新的合規(guī)要求；而這個專項與美國國防部現(xiàn)行之復雜網(wǎng)絡安全標準體系的疊加，也可能讓美國防務行業(yè)無所適從。

　　08

　　美英等國發(fā)出嚴重警告，微軟、Fortinet的漏洞正在被“濫用”

　　近日，美國、英國和澳大利亞等國的網(wǎng)絡安全機構發(fā)布聯(lián)合聲明，稱疑似受伊朗政府資助的攻擊者，正在積極利用Fortinet和Microsoft Exchange ProxyShell的漏洞。攻擊者利用漏洞獲得受害者系統(tǒng)初始訪問權限后，開始竊取數(shù)據(jù)和部署勒索軟件。

　　據(jù)美國網(wǎng)絡安全和基礎設施安全局（CISA）、聯(lián)邦調查局（FBI）、澳大利亞網(wǎng)絡安全中心（ACSC）和英國國家網(wǎng)絡安全中心（NCSC）對受害網(wǎng)絡系統(tǒng)分析后稱，攻擊者利用的Fortinet FortiOS漏洞和影響微軟Exchange服務器的遠程代碼執(zhí)行漏洞，可追溯到2021年3月。根據(jù)The Hacker News等媒體披露，遭受網(wǎng)絡攻擊的受害者眾多，其中受損嚴重的有澳大利亞的多家組織和美國多個關鍵基礎設施部門。

　　CISA和FBI等部門的網(wǎng)絡安全專家通過分析攻擊者近期活動，發(fā)現(xiàn)該組織異?；钴S，不僅利用FortiOS 漏洞“訪問”易受攻擊的澳大利亞部分企業(yè)網(wǎng)絡，早在2021年5月就已經(jīng)利用 Fortigate 設備漏洞，對美國市政府托管的網(wǎng)絡服務器展開了網(wǎng)絡攻擊。

　　為應對攻擊者的持續(xù)性威脅，美國政府不得不第二次發(fā)布警告，提醒高級持續(xù)性威脅集團正在利用CVE-2018-13379、CVE-2020-12812和CVE-2019-5591等漏洞破壞屬于政府和企業(yè)等實體的網(wǎng)絡系統(tǒng)。

　　09

　　美國國會研究處發(fā)布《網(wǎng)絡安全：2012年至2021年網(wǎng)絡攻擊》的報告

　　美國國會研究處（CRS）于2021年11月22日發(fā)布了題為《網(wǎng)絡安全：2012年至2021年網(wǎng)絡攻擊》的報告。該報告匯總了過去10年內針對美國實體的重大網(wǎng)絡攻擊，并介紹了網(wǎng)絡攻擊的溯源信息和常見類型。該報告將美國遭受的網(wǎng)絡攻擊分為兩大類，其中包括23起出于國家利益而發(fā)起的網(wǎng)絡攻擊，以及30起出于個人利益而發(fā)起的網(wǎng)絡攻擊。

　　10

　　Gartner發(fā)布當前需關注的八大安全和風險趨勢

　　隨著網(wǎng)絡安全和監(jiān)管合規(guī)成為企業(yè)董事會最關注的兩件事情，一些企業(yè)正在增加網(wǎng)絡安全專家來專門審核安全和風險問題。這只是我們的八大安全和風險趨勢之一，其中許多趨勢被最近的事件所推動，例如安全漏洞和持續(xù)的新冠疫情等。

　　今年的安全和風險趨勢突出了安全生態(tài)系統(tǒng)中正在進行但尚未被廣泛認可的戰(zhàn)略轉變。每一個趨勢都有望產(chǎn)生廣泛的行業(yè)影響和巨大的變革潛力。

　　趨勢一：網(wǎng)絡安全網(wǎng)格

　　網(wǎng)絡安全網(wǎng)格是一種使分布式企業(yè)能夠在最需要的地方部署和擴展安全的現(xiàn)代化安全架構概念方法。

　　新冠疫情在加速數(shù)字化業(yè)務的同時，也加速了另一個趨勢：許多數(shù)字資產(chǎn)和個人越來越多地位于傳統(tǒng)企業(yè)基礎設施之外。此外，網(wǎng)絡安全團隊正在被要求保護無數(shù)種形式的數(shù)字化轉型和其他新技術。這就需要具有靈活性、敏捷性、可擴展性和可組合性的安全選項，這些安全選項將使企業(yè)能夠以安全的方式邁向未來。

　　趨勢二：精通網(wǎng)絡的董事會

　　隨著公共安全漏洞的增加和勒索軟件造成的業(yè)務中斷日益普遍，各企業(yè)機構的董事會正愈加關注網(wǎng)絡安全問題。他們認識到這已成為企業(yè)的一個巨大風險并正在組建專門專注于網(wǎng)絡安全事務的委員會。委員會通常由具有安全經(jīng)驗的董事會成員（如前首席信息安全官[CISO]）或第三方顧問領導。

　　這意味著首席信息安全官將受到更多的監(jiān)督和期望，同時獲得更多的支持和資源。應做好改善溝通的準備并預測到董事會因此提出更苛刻的問題。

　　趨勢三：廠商整合

　　當今的安全現(xiàn)狀是安全領導人所擁有的工具過多。Gartner在2020年首席信息安全官效能調查中發(fā)現(xiàn)，78%的首席信息安全官在他們的網(wǎng)絡安全廠商組合中擁有16個以上的工具；12%的首席信息安全官擁有46個以上的工具。安全廠商過多會導致安全運行變得復雜并且安全人員人數(shù)增加。

　　大多數(shù)企業(yè)機構認識到，廠商整合是提高安全效率的途徑之一，80%的企業(yè)機構正在執(zhí)行或對這一戰(zhàn)略感興趣。大型安全廠商正通過整合得到更好的產(chǎn)品來應對。但整合具有一定的難度，往往需要幾年時間才能推出。雖然一般情況下推動這一趨勢的驅動力是更低的成本，但所產(chǎn)生的結果往往是更加精簡的運行和更低的風險。

　　趨勢四：身份優(yōu)先安全

　　混合工作模式的日益盛行以及向云應用的遷移鞏固了身份作為外圍的趨勢。身份優(yōu)先安全并不是一個新的概念，但隨著攻擊者開始以身份和訪問管理功能為目標來獲得“沉默的持久性”，身份優(yōu)先安全又呈現(xiàn)出新的緊迫性。

　　濫用憑證現(xiàn)在已成為最常用的入侵技術。國家級攻擊者正在以動態(tài)目錄和身份基礎設施為目標并取得了驚人的成功。身份識別是在氣隙網(wǎng)絡之間實現(xiàn)橫向移動的關鍵技術。多重認證的使用正在增長，但它不是萬能的。必須正確配置、維護和監(jiān)控身份基礎設施并給予高度重視。

　　趨勢五：管理機器身份已成為一項關鍵的安全功能

　　隨著數(shù)字化轉型的發(fā)展，構成現(xiàn)代應用的非人類實體數(shù)量出現(xiàn)了爆炸性增長。因此，機器身份的管理已經(jīng)成為安全運行的一個重要部分。

　　所有現(xiàn)代化應用都是由通過API連接的服務所組成的。由于攻擊者可以利用供應商API訪問關鍵數(shù)據(jù)來達到自己的目的，因此這些服務中的每一項都需要被認證和監(jiān)控。全企業(yè)機器身份管理工具和技術仍在不斷涌現(xiàn)。一項能夠管理機器身份、證書和秘密的全企業(yè)戰(zhàn)略使您的企業(yè)機構能夠更好地保護數(shù)字化轉型。

　　趨勢六：“遠程辦公”成為工作常態(tài)

　　根據(jù)2021年Gartner首席信息官調查，64%的員工現(xiàn)在可以在家辦公，五分之二的員工實際上正在家中辦公。曾經(jīng)只有高管、高級職員和銷售才可以使用的工具現(xiàn)在已經(jīng)成為主流。向混合工作模式（或遠程辦公模式）轉變是一個持久的趨勢，超過75%的知識工作者期待未來在混合工作環(huán)境中工作。

　　從安全角度看，為了更好地減輕風險，企業(yè)機構需要完全重新定義政策和工具。

　　趨勢七：入侵和攻擊模擬

　　一個幫助企業(yè)機構驗證安全態(tài)勢的新市場正在出現(xiàn)。入侵和攻擊模擬（BAS）可以對安全控制進行持續(xù)的測試和驗證，并且能夠測試企業(yè)機構應對外部威脅的態(tài)勢。該工具還能進行專項評估并突出顯示保密數(shù)據(jù)等高價值資產(chǎn)的風險。此外，BAS還提供使安全組織邁向成熟的培訓。

　　趨勢八：增強隱私的計算技術

　　增強隱私的計算技術能夠在數(shù)據(jù)被使用時，而不是在數(shù)據(jù)靜止或移動時提供數(shù)據(jù)保護，從而實現(xiàn)安全的數(shù)據(jù)處理、共享、跨境傳輸和分析，包括在不可信的環(huán)境中。

　　這項技術正在迅速從學術研究轉變?yōu)樘峁┱嬲齼r值的實際項目，不但實現(xiàn)了新形式的計算和共享，還減少了數(shù)據(jù)泄露風險。