Gartner发布2024年十大战略技术趋势 安全未来方向几何？

安全419关注到，Gartner于今日发布2024年企业机构需要探索的十大战略技术趋势。这份连年更新的报告，是Gartner面向企业业务领导者和技术人员提供的技术清单，分析其在未来三年内如何影响企业的战略，以指导关键岗位决策者尽早了解探索并满足各自的业务需求。

可以看到，与AI相关的技术应用已经占据半壁江山，服务于企业未来战略的技术趋势多围绕着智能化、云化、平台化及可持续性而发展。Gartner的另一项研究表明，94%的企业CEO希望继续或加速推进数字化转型进程，而构建安全的基础是加速数字化转型的底座。我们同样可以看到，多项技术趋势意在支持安全相关的业务战略。在此，我们重点介绍CTEM和TRiSM两项技术趋势，尝试为业界同仁分析网络安全技术未来可能的进化方向。

随着业务目标和工作流程持续升级，无论是在本地还是在云中，技术环境已经变得越来越复杂和分散，新技术和业务计划（如SaaS应用程序）、产生收入的新方式、OT、IoT、网络物理系统(CPS)和供应链接触点构成了新的威胁，企业必须不断更新其IT架构和安全计划，有效管理不断增长的攻击面成为一大挑战。

安全领导者总是在寻找改进的框架和工具来降低企业的安全风险，这包括从仅用于预防的方法转变为具有检测和响应能力的更成熟的战略增强预防控制。以前管理攻击面的方法已经跟上数字化速度，CTEM 是一种务实且有效的系统方法，Gartner最早在2022年中发布的《实施持续威胁暴露面管理（CTEM）计划》中提出，可不断优化优先级，并不断完善安全态势改进。

其周期包括五个必需的步骤：确定范围、发现识别、优先级、验证和采取行动。构建CTEM计划的企业使用工具对资产和漏洞进行清点和分类，模拟或测试攻击场景和其他形式的态势评估过程和技术，达到成熟阶段，使企业能够持续和一致地评估自身数字和物理资产的可访问性、暴露面及可利用性。

在安全419此前与攻击面管理厂商华云安的访谈中，华云安CEO沈传宝曾表示，如今的安全主题正从威胁扩展到风险管理，CTEM列出了一套集成的迭代程序以满足眼下及可预见的未来的安全目标。下沉到产品和工具层面，CTEM的最佳实践需要以CAASM、EASM、BAS、VPT、TDR等产品作为支撑，站在攻防视角，既可独立提供各自的安全能力，又能编排联动形成全面且完整的整体解决方案，构建一体化攻击面管理安全能力平台。

其进一步解释，云计算、SaaS应用以及远程办公的增长持续扩大攻击面，基于风险的安全管理思维的转变，正是从单点防御、依托合规转向持续地降低总体风险水平。面向未来的安全策略，应该站在整个企业的高度评估重要资产，系统性识别企业面临的威胁并划分优先级，不孤立考量各个安全控制措施，而是更清晰地展现弱点的位置和被攻破的可能性，依此不断优化改进安全机制，从更全面、更长远的角度看清威胁态势，匹配业务目标而持续保持更安全的状态。这正是CTEM方法论的核心思想体现。

就在10月12日，Gartner刚公布了一项调查数据，到2026年，超过80%的企业将使用生成式AI API，或部署生成式AI的应用程序，而在2023年初这一比例不到5%。

随着深度学习技术及应用的发展，AI的执行逻辑越来越趋向于黑盒，导致相关能力在许多行业的应用是有障碍的，比如金融风控、网络营销等场景。人类可理解的规则和AI的黑盒执行逻辑如何取长补短，让AI的执行过程更安全、更能让业务理解，可能是AI系统接下来在特定领域需要解决的问题。

国内的AI技术发展同样如火如荼，对AI应用的监管也在逐渐建立并完善。8月15日，由国家网信办等七部委联合发布的《生成式人工智能服务管理暂行办法》正式实施，成为全球首部针对生成式人工智能的法规。多部委联合发布的形式，也凸显了生成式人工智能的跨域复杂性和治理体系化思路。随后颁布的《生成式人工智能服务内容标识方法（征求意见稿）》《生成式人工智能服务 安全基本要求》（征求意见稿）细化落地方针，为相关服务提供者指明合规路径。

因此，对AI技术的安全管理不仅是保证业务战略稳定发挥的必选项，也是市场化应用不可逾越的安全监管要求。

AI TRiSM作为Gartner提出的一个新兴概念，其同样出现在2023年的十大战略技术趋势中。AI TRiSM是实现负责任AI的重要框架，其确保AI模型的治理、可信度、公平性、可靠性、稳健性、有效性和数据保护。AI TRiSM包括模型可解释性、数据和内容异常检测、AI数据保护、模型运营和对抗性攻击抵抗的解决方案和技术，在人工智能的采用率、业务目标实现和用户接受度方面将能够带来更好的成果，预计将在2—5年内成为主流。

● 成立特别小组或专门的部门来管理企业的AI TRiSM工作；

● 实施整体的AI隐私、安全和风险管理，以改善AI的业务成果，而不仅仅是为了满足合规要求；

● 作为整体AI TRiSM项目的一部分，在企业内广泛开展工作，有效管理最佳工具集；

● 使用能够提供附加价值的开源工具或厂商解决方案，为AI模型注入可解释性；

● 借助必要的解决方案为AI模型使用的数据提供保护，针对不同的用例及其组件，使用不同的数据保护方法；

● 使用能够确保模型和数据完整性的解决方案，将风险管理纳入模型运行，并不断验证模型运行的可靠性。

相关实践用例显示，丹麦商业管理局开发了一种方法，在AI模型中应用了高层次的道德原则，进而将道德原则与具体行动联系起来，根据公平性测试检查模型的预测结果，并建立了模型监控框架。借助这一方法，丹麦商业管理局快速部署并管理了16个AI模型，这些模型能够监测价值数十亿欧元的金融交易。