Gartner发布2024年网络安全9大趋势

• 弥合安全人才供需之间的鸿沟。

• 云采用的不断增长正在扩大并改变数字生态系统的组成。

• 加强公共和私营部门对网络安全、隐私和数据本地化的监管义务和政府监督。

• 企业数字能力的持续分散。

• 在不断变化的威胁环境中管理风险则是永恒的挑战。

为应对这些挑战的影响，SRM领导者正在其安全计划中采用一系列安全实践、技术能力和结构改革，以提高组织弹性和安全职能部门的效率。

这包括优化组织弹性和安全部门的效率。

现在提高组织弹性已成为安全投资的主要驱动力，这主要是因为：云的采用率不断提高，数字生态系统继续蔓延；组织的混合工作环境日趋普遍；威胁环境不断演变，新技能让攻击者更加胆大妄为。

SRM领导者越来越认识到，试图修复组织不断扩张的数字环境中数量激增的漏洞是愚蠢的。支持持续威胁暴露管理 (CTEM) 并提供更强大、支持安全的身份和访问管理 (IAM) 功能的计划的势头持续增强。

此外，采用注重弹性的第三方网络安全风险管理方法的 SRM 领导者，正在降低风险和加快推出新数字化计划的速度方面获得回报。

在优化组织效率的方面，积极主动的 SRM 领导者看到利用 GenAI 功能，提升运营效率的机会。此外，安全使用 GenAI 的需求影响安全技能规划和培养。这也是安全行为和文化计划受到关注的一个关键原因，其目的在于最大限度地减少不安全员工行为的影响。此外，越来越多地采用结果驱动的指标来促进更有效的网络安全风险和投资决策。随着组织继续分散和数字决策变化，安全运营模式改革的趋势持续存在。

图 1：2024 年主要网络安全趋势

到 2026 年，基于持续威胁暴露管理计划优先考虑安全投资的组织将实现漏洞数量减少三分之二。

大多数组织管理威胁暴露的工作过于专注于发现和纠正基于技术的漏洞。这种关注受到 SecOps合规性计划的鼓励，但通常不会考虑现代组织运营实践的重大转变，例如转向云驱动的应用程序和容器。安全团队必须增强其当前模型，并超越这一目标，其中修补和保护基于物理和自我管理软件的系统是主要目标。SRM 领导者已经意识到，现有的实践不够广泛，同时，人员配备的限制限制了可以完成的工作量。

对暴露面相关的问题的关注焦点，已经从简单地管理商业产品中的软件漏洞转移。如此大规模地增加技术风险对于安全运营团队来说是难以承受的。与业务目标缺乏一致性将导致对首先解决哪些问题做出错误的决定，这将导致无法量化的暴露空白点，并可能浪费安全预算来解决无关紧要的问题。SRM 领导者必须使用更广泛的威胁暴露管理流程，同时平衡已经捉襟见肘的运营团队，并创建有效且预先商定的补救动员渠道来响应发现的问题。

基于这些观点，Gartner 认为 IAM 在组织安全计划中的作用越来越大。因此，组织的 IAM 实践需要不断发展。

• 组织必须加倍努力实施更好的身份卫生。这一点至关重要，因为不良的身份卫生会破坏 ITDR 的许多潜在收益。Misset 权限为不良行为者提供了切入点，为横向移动创造了机会，并可能加剧简单错误造成的附带损害。鉴于存在大量的权利、帐户甚至本地帐户存储库，全面实施卫生是一项重大任务。ODM 可以帮助定义实施更好卫生的方向性指导，但也需要自动化。

• ITDR需要额外的努力和技能。只有注重卫生，它才能有效发挥作用。使用其他安全检测和响应流程的组织，甚至可能拥有自己的安全运营中心 (SOC)，可以从 ITDR 中受益，但这需要对 SOC 团队进行 IAM 培训。

• IAM 基础设施必须进行变革，以加深对安全功能的支持。目前在用的许多传统 IAM 基础设施都过于复杂，且存在巨大技术差距。IAM 技术债务是次优或低效 IAM 技术决策的技术积累，也是普遍存在的问题。

• IAM 基础设施必须发展成为一个身份基础设施，旨在实现身份优先的安全性。它必须使用并代理上下文，以一致的方式为任何适用的人员或机器提供和支持自适应、连续、风险意识和弹性访问控制。

SRM 领导者越来越多地将资源投入到合同前的尽职调查活动中。与 2021 年相比，近三分之二 (65%) 参与 2023 年 Gartner 重新构想第三方网络安全风险调查的受访者表示增加了预算，76% 的人在第三方网络安全风险管理计划上花费了更多时间。

尽管本意是好的，但这种不断增长的投资并没有产生预期的结果。在同一项调查中，4-5 % 的受访者表示，与两年前相比，第三方网络安全相关事件造成的业务中断数量有所增加。SRM 领导者对传统 TPCRM 实践在保护企业免受第三方网络风险方面的低效感到失望，因此正在寻找替代方案来提供更好的投资回报。

采用弹性驱动、资源高效的 TPCRM 方法的组织已经取得了切实的成功。他们超出执行领导者对最大限度地减少第三方事件影响的预期的可能性是其两倍多。他们还取得了更好的业务成果：在采用这种 TPCRM 方法的受访者组织中，近 80% 在推出新数字化计划的速度方面领先于同行。

想要采用这种方法的 SRM 领导者必须认识到：

• 业务优先级会影响 TPCRM 的工作，反之亦然。企业领导者对于 TPCRM 的成功至关重要。通过与他们接触以了解他们的优先事项，SRM 领导者能够阐明所涉及的价值并调整计划。同时，这种参与使企业能够做出更好的基于风险的决策，并促进实施可提供弹性的安全控制。

• TPCRM 需要通力协作。着眼于安全团队的资源效率，有效的 SRM 领导者认识到 TPCRM 需要与在第三方风险管理（即采购、法律和企业风险管理）中发挥作用的所有风险职能部门建立合作伙伴关系。必须共同制定政策、程序和实践，以确保跨职能的一致性并最大限度地减少工作流程中的摩擦。例如，初始网络安全风险分类需要纳入采购流程。这种方法有助于确保网络安全团队的专业知识应用于对网络安全风险结果影响最大的计划。

• 关键的第三方是你的盟友。SRM 领导者必须将其参与策略从监管转向与第三方合作。这将有助于确保关键第三方接触的所有企业最有价值的资产（例如材料数据、网络和业务流程）得到持续保护。建立互利关系可以提高透明度，促进第三方实施控制，并在发生网络安全事件时改善协作。

• 监管合规性。由于目标地区的新法规提出了新的且常常相互冲突的要求，合规工作和审计的复杂性大大增加。

• 数据迁移和集成实践。应用程序和数据存储的解耦可能会导致隔离和互操作性挑战，从而降低信息保真度并阻碍业务连续性和创新。跨国公司可以整合边缘操作和可组合架构来缓解其中一些挑战。

• 数据架构和存储。数据本地化要求正在导致应用程序和数据托管的快速发展，这进一步扩大了攻击面。与此同时，需要重新构想数据访问和威胁管理编排，因为对数据本地化的相同要求使得从一个中心位置执行此类活动变得困难。

• 安全的开发实践。随着应用程序的改进，出现了将安全要求“融入”开发实践的机会，而不是后来“附加”。如果应用需要解耦，不同辖区之间的安全标准可能会有所不同。因此，如果存在此类差异，则需要在开发应用程序时对它们进行协调。

ChatGPT 等大型语言模型 (LLM) 应用程序已将生成式人工智能 (GenAI) 提上议程，纳入许多业务、IT 和网络安全路线图。GenAI 一词描述了从数据和模型工件的表示中学习以生成新工件的技术。

GenAI引入了需要保护的新攻击面。这需要改变应用程序和数据安全实践以及用户监控。GenAI 还将改变网络安全市场的动态。

GenAI正在以多种方式影响 SRM 领导者：

• 直接且紧急：首先，需要解决 ChatGPT 不受管理和不受控制的使用，以最大程度地降低风险。最值得注意的问题是在第三方 GenAI 应用程序中使用机密数据，以及使用未经审查的生成内容可能导致的版权侵权和品牌损害。很快，业务计划推动对保护 GenAI 应用的需求，为传统应用安全保护增加了新的攻击面。

• 直接且大肆宣传为紧迫：网络安全提供商发布了一波双曲线人工智能公告，旨在激发人们对 GenAI 可能做的事情的兴趣。我们已经看到 GenAI 功能用于安全运营和应用安全，但尚未观察到网络安全产品直接使用 GenAI 技术来检测或预防威胁。

• 间接且可怕：随着 SRM 领导者对 2024 年的计划，由于隐私问题和威胁行为者获得了 LLM 技术，他们正在提出有关新风险和威胁的合理问题。他们需要忽略“恐惧、不确定性和怀疑”，并通过监控现有安全控制中的检测性能偏差，并加倍加强弹性和暴露管理举措，应对GenAI 可能导致的威胁环境中不可预测的变化。

• 间接和潜在：随着组织内越来越多的团队抓住机会将 GenAI 功能集成到其系统中，网络安全团队将必须不断适应流程的变化。例如，人力资源团队可能会将 GenAI 纳入招聘流程，采购团队可能在选择或续签产品合同时使用 GenAI。即将出台的法规和合规要求也将影响安全团队。

GenAI的使用增加是不可避免的。在2024 年Gartner CIO 和技术高管调查中，只有 3% 的受访者表示他们对 GenAI 不感兴趣。SRM 领导者如果推迟采用 GenAI 应用程序的新安全实践，或者忽略 GenAI 的安全用例（即使基于当今的基本实现和示例），则可能会在其他公司效仿时失去其组织的竞争优势。同一项调查发现，三分之一 (34%) 的组织计划在未来 12 个月内部署 Gen AI 。

SRM领导者还需要为快速发展做好准备，因为 ChatGPT 等 LLM 应用程序只是 GenAI 颠覆的开始。多模式 GenAI（涉及不同类型数据的训练模型）已经将 GenAI 用例的范围扩展到文本之外。“大型动作模型”——可以自动执行动作的基础模型——也即将出现。

安全团队定期证明其适应范式变化的能力。然而，旨在保护 GenAI 应用安全的新兴安全工具（例如，它们的模型和提示）的不成熟，加上 GenAI 应用架构的动态变化，使得开发最佳实践和提出建议变得困难。

GenAI的炒作缩短了安全领导者的时间范围。他们陷入了不得不对整个组织中发生的许多 GenAI 计划做出紧急反应的境地——这与企业开始迁移到云时的情况类似。SRM 领导者不能等到一切稳定下来才准备和计划。

在网络安全实践中，安全运营和应用程序安全是提供商通过使用 GenAI 添加功能的两个主要领域。早期的实现采用助手的形式，本质上是一个旨在回答问题的交互式提示。太多的此类实施可能很快就会产生“即时疲劳”，因此与 GenAI 的交互需要取得进展。我们还预计使用经过专门训练的模型的新用例很快就会出现。

• 到 2025 年，40% 的网络安全项目将部署社会行为原则（例如助推技术）来影响整个组织的安全文化，而 2021 年这一比例还不到 5%。

• 到 2027 年，50% 的大型企业 CISO 将采用以人为本的安全设计实践，以最大限度地减少网络安全引起的摩擦并最大限度地提高控制采用率。

安全行为和文化计划 (SBCP) 封装了一种企业范围内的方法，可最大程度地减少与员工行为（无论是无意的还是故意的）相关的网络安全事件。

SBCP 的主要目标是改变行为。它涵盖传统实践，例如意识培训和网络钓鱼模拟，以及一系列影响行为的学科，包括：

• 降低员工对社会工程的敏感度并提高他们在受到攻击时的反应。

• 改进安全控制的采用。

• 最大限度地减少系统采购过程中引入的漏洞。

• 在不增加安全风险的情况下制定敏捷的、业务主导的数字决策。

桑坦德银行和“SevenHills”等已采用 SBCP 相关实践的组织已经看到：

• 提高员工对安全控制的采用。

• 减少不安全行为。

• 速度和敏捷性提高。

• 当员工有能力做出独立的网络风险决策时，可以更有效地利用网络安全资源。

• 提供可信且合理的风险偏好表达，支持直接投资。

• 能够向没有技术背景的非 IT 管理人员进行解释。

• 充当支持直接投资以改变保护水平的价值杠杆。

• 制定业务决策以接受第三方风险而不承担责任。

• 支持 SRM 领导者使用多个半自主操作单元来管理安全保护级别，同时保持自主性。

• 支持并购中“买方”的网络安全尽职调查。

• 向高管解释重大网络事件，并指导具体投资来修复这些事件。

• 支持透明度，以教育高管、业务线和公司职能部门了解不适当或漫不经心的风险接受情况。

• 暴露矩阵管理问题，例如IT 团队在修补问题中所扮演的角色，而安全组织通常负责解决这些问题。

• ODM改变网络安全治理，以支持通过保护级别协议 (PLA)与非 IT 高管直接谈判资金和所需的保护级别。

• 管理结果取代了与高管讨论工具和技术的任何需要，同时在交付方法方面保持完全的灵活性。

• ODM 提供了“风险偏好”的另一种定义，该定义较少涉及接受损失的意愿，而更多涉及实现商定的保护水平以及证明是否正在实现的愿望。

• ODM 使 SRM 领导者能够重新设定他们的责任，这样就不再是为了防止违规，而是为了“让风险所有者保持在他们的风险偏好范围内”。

• SRM 领导者必须鼓励非 IT 领导者减少对威胁场景和基于可能性的投资理由的兴趣，而更多地关注持续暴露的保护级别。

• 需要投资来准备系统和流程，以便为 ODM 持续收集新数据。

企业使用技术的方式正在发生转变：在 Gartner 调查中，三分之二 ( 67%) 的首席执行官和高级业务主管表示希望直接在业务职能范围内完成更多技术工作。此外，许多企业正在经历数字化转型和云迁移，将工作分散在远程或混合模式中，并面临着将隐私、合规性和网络安全纳入业务运营的监管压力。因此，技术的获取、创建和交付的责任正在从中央 IT 职能转移到业务线、公司职能、融合团队甚至员工个人。

传统的网络安全运营模式无法适应这一新现实。网络安全需要与业务建立更紧密的联系，以保持数据资产的可见性并支持控制实施。自上而下的治理或控制将无法扩展，因为工作流程的异构性和技术所有权的分散意味着安全职能部门无法监督每一个涉及网络安全风险的决策。SRM领导者需要提高业务决策者的网络素养和网络判断力，以便员工能够将网络安全考虑融入到日常工作中，并实施协作风险管理流程。

• 从“中心化转向去中心化”。这意味着集中和简化网络安全监督和协同决策，同时推动分散资源所有者的自治和问责制。先进的 SRM 领导者认识到，边缘的本地化网络判断可以降低风险并支持创造业务价值。

• 策略治理集中化，同时推动策略实施（例如标准和指南）更加灵活和本地化管理，以适应边缘的控制所有权。事实上，Gartner 调查的 45% 的 CISO 正在整合或减少策略，而不是增加策略。为了使策略对用户更加友好，SRM 领导者及其团队现在正在与最终用户共同制定策略，并为风险和数据所有者提供对特定标准和实施的更多控制。

• 创建新流程、添加新功能以支持新的运营模式。例如，在 Gartner 调查中，64% 的 CISO 创建了新的网络安全流程，60% 在过去 24 个月内创建了新的团队或职能。

网络安全人才短缺是长期存在的全球问题。仅在美国，合格的网络安全专业人员只能满足当前需求的 70%，这是过去十年来的历史最低水平。

劳动力市场供需问题无法由个别 SRM 领导人解决。可以解决的是新出现的技能缺口。网络安全团队所需的技能正在发生巨大变化，但网络安全领导者仍在继续招聘传统角色和技能。SRM 领导者必须通过重新培训现有人才和雇用具有新能力的新人才来重新培训他们的团队。

• 云采用。大多数组织现在都是云优先（或云首选）实体。他们向云的迁移进一步推动了对底层基础设施安全的抽象。

• GenAI。GenAI 工具的快速崛起和普遍可用性改变了必须保护的技术和网络安全团队将使用的工具。

• 运营模式转型。网络安全专业人员越来越需要与业务合作伙伴合作并通过业务合作伙伴合作，而不是单独管理网络安全实施。

• 供应商整合。这意味着网络安全团队必须管理更少的安全解决方案套件和供应商关系。

• 威胁范围的扩大。现在的威胁包括网络物理系统、远程工作、GenAI 技术以及员工对低代码/无代码解决方案的使用。

• 增强的互联劳动力。为了使组织内部的 GenAI 先驱成为可能，我们正在制定和实施战略，以优化人类员工的价值。

• “相邻技能”将解决一些技能缺口。在人力资源实践、职位描述模板以及认证和培训服务赶上之前，对新兴技能的需求将会增长。SRM 领导者将需要招聘“相关技能”（内部和外部），以大致满足新兴技能需求，以便驾驭上述大趋势。

• “软”技能将胜过技术实力。风险决策和政策细节越来越多地掌握在网络安全直接权限之外的边缘。网络安全团队需要更多的软技能，例如商业头脑、口头沟通能力和同理心，以便与他人合作。这些技能可帮助网络安全专业人员了解网络风险如何影响业务成果、控制措施如何给业务带来摩擦，以及如何通过谈判获得平衡网络风险与其他考虑因素的结果。

• 新的挑战需要新的技能。网络安全团队将需要新技能，其中许多技能在过去几年中并不存在。这些技能可能是全新网络安全角色或增强现有角色的新技能的一部分。例如，数据科学家可能需要人工智能伦理方面的技能，安全意识管理者可能需要人类心理学方面的技能。