上周Gartner在“2024年網(wǎng)絡(luò)安全六大趨勢(shì)”報(bào)告中指出，新的一年中改變企業(yè)網(wǎng)絡(luò)安全市場(chǎng)的六大驅(qū)動(dòng)力和趨勢(shì)分別是：

生成式人工智能(GenAI)

不安全的員工行為

第三方風(fēng)險(xiǎn)

持續(xù)的威脅暴露

董事會(huì)溝通差距

身份優(yōu)先的安全方法

Gartner的預(yù)測(cè)，2024年將是企業(yè)高度重視安全文化建設(shè)的一年，同時(shí)也將誕生首個(gè)生成式人工智能驅(qū)動(dòng)的安全產(chǎn)品，到2025年，這些工具將帶來(lái)真正的風(fēng)險(xiǎn)管理成果。

近日，Gartner高級(jí)研究總監(jiān)分析師Richard Addiscott對(duì)“六大趨勢(shì)”進(jìn)行了深入解讀，具體如下：

趨勢(shì)一：CISO對(duì)生成式人工智能既愛又怕

Addiscott指出，在不久的將來(lái)，生成式人工智能可以幫助安全部門提高防御能力，包括漏洞管理、威脅情報(bào)和響應(yīng)等領(lǐng)域。

“生成式人工智能還可以幫助安全團(tuán)隊(duì)提高運(yùn)營(yíng)效率，這在當(dāng)前全球網(wǎng)絡(luò)安全人才短缺的情況下，是關(guān)鍵的業(yè)務(wù)驅(qū)動(dòng)因素，”他說(shuō)。

然而，生成式人工智能的“副作用”也不容忽視。到目前為止的一些案例顯示，部分使用生成式人工智能的員工更容易出現(xiàn)提示疲勞，而不是生產(chǎn)力增長(zhǎng)。不過(guò)，企業(yè)仍應(yīng)鼓勵(lì)內(nèi)部和外部的安全部門進(jìn)行試驗(yàn)并管理期望。

Addiscott表示，盡管許多企業(yè)最初持懷疑態(tài)度，但對(duì)人工智能技術(shù)仍抱有"堅(jiān)定的長(zhǎng)期希望"。

趨勢(shì)二：安全行為和安全文化在企業(yè)落地生根

安全文化對(duì)所有網(wǎng)絡(luò)安全項(xiàng)目都至關(guān)重要。根據(jù)Gartner的說(shuō)法，越來(lái)越多的CISO開始接受這一理念，并采用安全行為和文化計(jì)劃(SBCP)。

Gartner預(yù)測(cè)，到2027年，50%的大型企業(yè)首席信息安全官將采用以人為中心的安全性實(shí)踐。

Addiscott解釋說(shuō)，"SBCP代表了一種更全面、更綜合的方法，其目的是培養(yǎng)和嵌入更安全的行為和工作實(shí)踐，貫穿整個(gè)組織。"

這種策略采取了更加全面的視角，涵蓋所有企業(yè)角色和職能，而不僅僅關(guān)注最終用戶員工的行為。

為了支持企業(yè)向這一模式轉(zhuǎn)變，Gartner開發(fā)了PIPE（實(shí)踐、影響、平臺(tái)、推動(dòng)因素）框架，指導(dǎo)安全意識(shí)項(xiàng)目中并不常用的實(shí)踐，例如組織變革管理、以人為本的設(shè)計(jì)實(shí)踐、營(yíng)銷和公共關(guān)系以及安全輔導(dǎo)。

PIPE還鼓勵(lì)企業(yè)將員工人口統(tǒng)計(jì)、企業(yè)預(yù)算、高管風(fēng)險(xiǎn)文化以及數(shù)字和網(wǎng)絡(luò)素養(yǎng)納入其網(wǎng)絡(luò)安全計(jì)劃中。此外，還可以通過(guò)整合來(lái)自各種安全工具的員工使用數(shù)據(jù)來(lái)個(gè)性化這些計(jì)劃（生成式人工智能也可以在此發(fā)揮作用）。

Addiscott指出，SBCP允許組織深入挖掘數(shù)據(jù)，以確定哪些員工行為導(dǎo)致了某些安全事件。例如，他們是否泄露了憑證、點(diǎn)擊了不安全鏈接或?yàn)E用了電子郵件。然后，他們可以采取更平衡的方法向前發(fā)展。

他表示，高層的支持是至關(guān)重要的，同時(shí)還需要有一個(gè)員工可以理解的"良好安全態(tài)勢(shì)"的愿景。領(lǐng)導(dǎo)者應(yīng)該意識(shí)到安全文化學(xué)習(xí)沒有"一刀切"的方法，并且還應(yīng)該定期評(píng)估項(xiàng)目效果。

Addiscott承認(rèn)，"SBCP比傳統(tǒng)的安全意識(shí)培訓(xùn)計(jì)劃要大得多，而且并非所有企業(yè)都具備擴(kuò)展到超出當(dāng)前能力范圍的能力、成熟度或能力，可以循序漸進(jìn)，量力而行。"

趨勢(shì)三：用好的安全指標(biāo)彌合董事會(huì)溝通差距

Gartner強(qiáng)調(diào)，隨著全球監(jiān)管機(jī)構(gòu)尋求加強(qiáng)網(wǎng)絡(luò)安全方面的規(guī)則，2024年董事會(huì)必須更加熟悉組織風(fēng)險(xiǎn)。然而，Addiscott指出，董事會(huì)通常缺乏"深入的網(wǎng)絡(luò)安全專業(yè)知識(shí)"。

他指出，以技術(shù)為中心、以運(yùn)營(yíng)為導(dǎo)向、以及過(guò)去導(dǎo)向/滯后的網(wǎng)絡(luò)安全績(jī)效指標(biāo)對(duì)企業(yè)高管來(lái)說(shuō)毫無(wú)意義，無(wú)法幫助他們真正理解公司面臨的風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn)。

這催生了成果驅(qū)動(dòng)型指標(biāo)(ODM)，它本質(zhì)上是將網(wǎng)絡(luò)安全投資和它們提供的保護(hù)之間直接關(guān)聯(lián)。安全領(lǐng)導(dǎo)者可以用"可視化"方式展示其安全項(xiàng)目的績(jī)效，并根據(jù)企業(yè)的風(fēng)險(xiǎn)偏好展示所取得的成果。

Gartner表示，"ODM是制定可辯護(hù)的網(wǎng)絡(luò)安全投資策略的核心，它反映了具有強(qiáng)大性能的商定保護(hù)級(jí)別，并用非IT高管可以理解的

趨勢(shì)四：第三方風(fēng)險(xiǎn)管理至關(guān)重要

軟件供應(yīng)鏈正遭受持續(xù)攻擊，第三方發(fā)生網(wǎng)絡(luò)安全事件只是時(shí)間問(wèn)題。

Addiscott指出，CISO應(yīng)該更加關(guān)注"以彈性為導(dǎo)向的投資"，而不是"前期盡職調(diào)查"。

他建議加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高的第三方參與的應(yīng)急計(jì)劃。此外，還要?jiǎng)?chuàng)建針對(duì)第三方的事件手冊(cè)、進(jìn)行桌面演練并定義明確的“下車”策略（例如及時(shí)撤銷訪問(wèn)和銷毀數(shù)據(jù)）。

Addiscott表示，"為企業(yè)數(shù)字化能力建立強(qiáng)大而有彈性的供應(yīng)鏈對(duì)于更廣泛的組織彈性至關(guān)重要"。

趨勢(shì)五：面向未來(lái)的網(wǎng)絡(luò)安全技能再培訓(xùn)

毫無(wú)疑問(wèn)，網(wǎng)絡(luò)安全人才荒并未結(jié)束。Gartner報(bào)告稱，僅在美國(guó)，合格的網(wǎng)絡(luò)安全專業(yè)人員就只夠滿足當(dāng)前需求的70%。

云遷移、生成式人工智能應(yīng)用、運(yùn)營(yíng)模式轉(zhuǎn)型、不斷擴(kuò)大的威脅環(huán)境和供應(yīng)商整合只會(huì)加劇人才短缺趨勢(shì)，同時(shí)還在不斷產(chǎn)生大量新安全技能需求。

因此，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要摒棄傳統(tǒng)的人才招聘篩選規(guī)則，例如要求應(yīng)聘者具備"n"年經(jīng)驗(yàn)或特定技能（因?yàn)檫@些技能可以學(xué)習(xí)）。他們應(yīng)該著眼于招聘"相關(guān)技能"、"軟技能"（例如商業(yè)敏銳度、口頭溝通和同理心）以及全新網(wǎng)絡(luò)安全角色需要的“新技能”。

Gartner建議企業(yè)制定網(wǎng)絡(luò)安全勞動(dòng)力計(jì)劃，記錄所需技能并展示角色將如何演變。他們還應(yīng)該培育學(xué)習(xí)文化，通過(guò)"迭代、短時(shí)間的爆發(fā)"而不是"瀑布式"的培訓(xùn)來(lái)納入實(shí)踐技能開發(fā)。

值得注意的是，Gartner強(qiáng)調(diào)"要為未來(lái)招聘，而不是為過(guò)去招聘"。職位描述應(yīng)該刪除"大牛"要求，即那些幾乎沒有應(yīng)聘者可以達(dá)到的“理想人才標(biāo)準(zhǔn)”。

趨勢(shì)六：IAM和持續(xù)威脅暴露管理(CTEM)勢(shì)頭強(qiáng)勁

近年來(lái)，隨著SaaS應(yīng)用加速、數(shù)字供應(yīng)鏈擴(kuò)展、遠(yuǎn)程工作和其他因素的推動(dòng)，攻擊面急劇擴(kuò)大，導(dǎo)致企業(yè)留下了許多盲點(diǎn)。他們的可見性有限，并且他們的技術(shù)往往是孤立的。

Gartner表示，為了解決這一問(wèn)題，許多企業(yè)正在采用持續(xù)威脅暴露管理(CTEM)。CTEM幫助安全團(tuán)隊(duì)持續(xù)評(píng)估和管理暴露，而不是試圖找到并修補(bǔ)每個(gè)漏洞。這使他們能夠根據(jù)企業(yè)的具體威脅環(huán)境進(jìn)行修復(fù)。

Gartner預(yù)測(cè)，到2026年，優(yōu)先考慮CTEM的企業(yè)的違規(guī)事件將減少三分之二。

與此同時(shí)，身份訪問(wèn)管理(IAM)變得越來(lái)越重要。Gartner建議企業(yè)"加倍努力實(shí)施適當(dāng)?shù)纳矸菪l(wèi)生措施"。他們還應(yīng)該擴(kuò)展身份威脅檢測(cè)和響應(yīng)(IDTR)，實(shí)施安全態(tài)勢(shì)評(píng)估，并通過(guò)"向身份架構(gòu)演變"來(lái)"重構(gòu)"身份基礎(chǔ)設(shè)施。

總結(jié)：給CISO的六大建議

后疫情時(shí)代，網(wǎng)絡(luò)安全將面臨新的挑戰(zhàn)和機(jī)遇。生成式人工智能、安全行為和文化、第三方風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全技能再培訓(xùn)、身份管理以及持續(xù)威脅暴露管理(CTEM)的興起，都將對(duì)網(wǎng)絡(luò)安全格局產(chǎn)生重大影響。

針對(duì)以上趨勢(shì)，Gartner建議CISO在新的一年：

積極探索生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用潛力。

培育以人為本的安全文化，并通過(guò)安全行為和文化計(jì)劃(SBCP)提升員工的安全意識(shí)。

加強(qiáng)對(duì)第三方風(fēng)險(xiǎn)的管理，建立強(qiáng)大的供應(yīng)鏈安全體系。

通過(guò)再培訓(xùn)和技能提升，打造一支適應(yīng)未來(lái)需求的網(wǎng)絡(luò)安全人才隊(duì)伍。

不斷完善身份管理體系，以應(yīng)對(duì)日益復(fù)雜的威脅環(huán)境。

積極采用持續(xù)威脅暴露管理(CTEM)策略，提升組織的整體安全防護(hù)能力。