專業的信息化與通信融合產品選型平臺及垂直門戶
注冊 登陸 設為首頁 加入收藏
首頁 產品選型 需求登記 行業應用 廠商專區 活動 商城 舊版網站

資訊
中心

新聞中心 人物觀點
廠商專區 市場分析
行業
應用
政府機構 能源產業 金融機構
教育科研 醫療衛生 交通運輸
應用
分類
統一協作 呼叫客服 IP語音 視頻會議 智能管理 數據庫
數字監控 信息安全 IP儲存 移動應用 云計算 物聯網

TOP

2019年七大安全風險趨勢分析
2019-06-27 17:43:56 來源:默安科技 作者:【
關鍵詞:安全風險
 
CISO 一直在努力闡明基于風險的決策的重要性,并發現為組織創建風險偏好聲明是使 IT 風險管理與業務目標保持一致的最有效工具。創建簡單、實用的風險偏好聲明,可以使 CISO 打破安全團隊和不同業務單元之間存在的脫節。
  CISO 一直在努力闡明基于風險的決策的重要性,并發現為組織創建風險偏好聲明是使 IT 風險管理與業務目標保持一致的最有效工具。創建簡單、實用的風險偏好聲明,可以使 CISO 打破安全團隊和不同業務單元之間存在的脫節。這是 Gartner 預計將在 2019 年影響 CISOs 的七大安全和風險管理趨勢之一。
 
  一、SRM管理者持續發布以業務成果為導向的實用的風險偏好聲明,有效提高了利益相關方的參與度
 
  為應對當前的安全形勢,風險管理逐漸提上日程,現在已經不僅僅是管理好漏洞那么簡單了,還包括戰略、市場、供應商、內控、財務、資源優化等多方面的風險(作為一個合規的 CIO,這些應該都有一定的了解。記得 Gartner 的一篇文章提到過 CIO 應該盡可能的參與到 CEO 和董事會的會議中去,能夠向 CEO 和高層建議 IT 方面的一些有價值和創造性的建議,而不是等著上邊來分派工作,每天只是搞搞 IT 和安全。)一些大型甲方已經開始建立自己的風控體系,尤其是電商公司,目前面對比較頭疼的就是 DDoS 攻擊、APT、0day、薅羊毛以及社工。如何應對這些風險將成為未來幾年企業安全的重中之重,而且前幾天的《網絡安全漏洞管理規定(征求意見稿)》也提到了要做好風險管理。
 
  這里所提到的風險偏好,類似金融行業投資者的投資偏好,主要反映企業對于安全的一個導向和重要指導方針,如何應對安全、預算是否充足、是否愿意向安全投資、能夠或愿意接受的風險水平是怎樣的?首先做好這些基礎工作,才能開展后續各項部署、計劃以及實施和監督改進。最后,也是最為關鍵的一點,不管你擁有多么先進的技術、多么高端的人才或是多么強大的合作伙伴,如果利益相關方不關心安全,那么其實各位也不要太費心去做安全,其本身就是一種自上而下的治理方法,沒有上層支持和推動,安全工作不會創造任何價值。
 
  二、對威脅檢測與響應功能的關注使得SOC部署和優化的熱度再次上升
 
  SOC 吹了有好多年,目前真正可以拿來作為最佳實踐的案例卻不多,介于目前攻防回合制過家家的打法(你黑我一下,我防你一手,我再找洞,你再修補),預計這種僵持的局面可能會持續很久,何時能夠打破僵局,出現一種新的安全防護手段將是關鍵。
 
  既然還身處這樣的環境,那么就事論事,必須做好當前的安全工作。從市場預測來看,SOC 已經不算新鮮,市場真正關注的是威脅檢測與響應,非傳統的態勢感知,哪些都是吹出來的,目前還沒有真正可稱為態勢感知的系統。結合如今 0day 黑產地下亂竄,APT 和釣魚放長線,社工和羊毛黨隨處可見的時代,檢測和響應的及時性和準確性是關鍵,能夠第一時間組織損失,這是企業最為關心的事。
 
  三、領軍企業利用數據安全治理框架來確定數據安全投資的優先級
 
  隨著《GDPR》出臺,一年來效果顯著,確實起到了一定的約束效力。但對于企業來說,并沒有幾家公司能做好數據安全,目前除了加密就是 DLP,全是被動手段,距離真正的數據治理還有很大差距。前些年提出的數據生命周期,是一個比較好的概念和理論框架,雖然費時費力,但從長遠來看,企業越大,數據治理的必要性就越強,不做是不可能的。那么既然早晚都要做,不如早些起步,以免海量數據堆積起來再想開始就真的難了,只是一個數據分類分級就需要大量人力投入。
 
  四、受需求和生物識別技術可用性以及基于硬件的強認證方式驅動,無密碼認證開始引領市場
 
  為何無密碼認證會引領市場,其實想想也是一種趨勢,就好比云一樣。舉個例子,一個人在多個平臺會擁有多個賬號,目前不可能做到一賬通,未來 10 年怕也是不可能。那么,每個平臺對應的賬號都有密碼要求,有些還好,可能 6 位就可以,也不限制復雜度,而有些平臺安全策略較高,要求至少 8 位,且必須包含某些復雜字符,那么接下來問題來了。一個人加入擁有 10 個賬號,如果所有賬號都用一個密碼,肯定不安全;如果大多數賬戶密碼不同,那么要記住這些密碼對于一般人來說有些困難,不少人會記在本上或是存在一個文本里,那么這又存在安全隱患,被泄露只是時間問題。所以,無密碼登錄必然是未來的趨勢,通過生物識別配合隨機機制認證(類似手機掃碼登錄,不過比這要復雜一點),這是相對安全而且也是用戶希望的。
 
  未來幾年,無密碼認證服務可能會擁有非常廣泛的市場份額。
 
  五、安全廠商增值服務提供持續增長,以幫助客戶獲取更多短期價值并提供技能培訓
 
  Gartner 最近一直強調客戶體驗,如何做好大客戶服務,可見未來市場信息類服務會越來越多,那么哪家做得好,用戶口碑好,就是最核心的競爭優勢。拋開傳統服務,安全廠商開始持續開發增值服務,之前看到的 XaaS 就是其中的一個例子,不只是 IaaS、 PaaS、 SaaS,云上整體解決方案,說白了,你只要說一句我家系統要上云,好了,其他您甭管嘞,廠商全給你做好,從前期需求、方案、遷移、部署、上線、測試、安全、運維,您只要掏錢跟我提需求就 OK。這是 Gartner 在今年 3 月提出一種新的云上服務方式。
 
  六、云計算已成為主流平臺,領軍企業不斷投資和完善自己的云安全能力
 
  云平臺稱為趨勢已成必然,由于信息系統量級,需要逐步遷移,但以目前全球國家大型云服務提供商的服務水平來看,暫時可能還難以提供全方位的支持。阿里云,去年多次故障,嚴重影響客戶;騰訊云,對于技術問題一刀切,客戶滿意度降低;亞馬遜云,數據泄露,外加幾年光纜被挖斷,部分地區服務中斷;以上只是運維方面的問題,在安全方面,各家也還是采用堆疊式被動防御,提供一堆安全產品,客戶自行選擇購買,雖說是云平臺,高端大氣,未來趨勢,但依舊沒有創新,和傳統網絡安全也沒太大本質區別。何時能夠由被動轉為真正的主動式防御,真正為客戶著想,安下心來做好安全,這時才能成為成熟的云計算平臺。
 
  七、CARTA 安全戰略在傳統安全市場開始嶄露頭角
 
  最近兩年,自從 Gartner 提出 CARTA 這個詞以后,就一直在主推它。什么是 CARTA,這里簡單說一下。
 
  CARTA:Continuous Adaptive Risk and Trust Assessment,持續自適應風險與信任評估。Gartner 推出了一個稱作 CARTA 的戰略方法,強調要持續地和自適應地對風險和信任兩個要素進行評估。
 
  • 風險,是指判定網絡中安全風險,包括判定攻擊、漏洞、違規、異常等等。持續自適應風險評估是從防護的角度看問題,力圖識別出壞人(攻擊、漏洞、威脅等)。說到風險,我認為是信息安全中一個很關鍵的詞。現在我們更多聽到的是威脅、數據,譬如以威脅為核心、數據驅動,等等,以風險為核心感覺過時了一樣。其實,安全還真是要時時以風險為核心!數據、威脅、攻擊、漏洞、資產,都是風險的要素和支撐。我們檢測攻擊,包括高級攻擊,最終還是為了評估風險。
 
  • 信任,是指判定身份,進行訪問控制。持續自適應信任評估是從訪問控制的角度看問題,力圖識別出好人(授權、認證、訪問)。
 
  • 自適應,就是指我們在判定風險(包括攻擊)的時候,不能僅僅依靠阻止措施,我們還要對網絡進行細致地監測與響應,這其實就是 ASA 自適應安全架構的范疇。另一方面,在我們進行身份與訪問控制的時候,也不能僅僅依靠簡單的憑據,還需要根據訪問的上下文和訪問行為進行綜合研判,動態賦權、動態變更權限。
 
  • 持續,就是指這個風險和信任的研判過程是持續不斷,反復多次進行的。CARTA 強調對風險和信任的評估分析,這個分析的過程就是一個權衡的過程。天平很形象地闡釋了 “權衡” (Balance) 一詞。權衡的時候,切忌完美 (Perfect),不能要求零風險,不能追求 100% 信任,否則業務就沒法開展了。好的做法是不斷地在 0 和 1 之間調整。
 
  CARTA 能夠從運行、構建和規劃三個維度(反著講)來分別分析客戶的業務系統如何運用 CARTA 戰略方法。這里最厲害之處是 Gartner 將幾乎所有他們以往定義的技術細分領域都囊括其中,而且十分自洽。
 
  運行,自適應訪問和自適應保護訪問,就是從信任的角度去進行訪問控制;保護,就是從風險的角度去進行防御。
 
  自適應保護其實就對應了 Gartner 的自適應安全架構。
 
  在談及保護的時候,Gartner 提到了一個響亮的觀點:利用縱深分析(Analytics indepth)和自動化來進行保護。
 
  • 縱深分析:這是一個從縱深防御演進而來的術語,強調了隨著安全問題逐漸變成大數據問題, 而大數據問題正在轉變成大分析問題,進而縱深防御也逐漸變成了縱深分析。縱深分析就是要對每個縱深所產生的大量數據進行分析研判,動態地去進行風險與信任評估,同時還要將不同縱深的數據進行融合分析。而所有這些分析,都是為了更好的檢測,而檢測是屬于防護的一環(跟阻斷、響應一起)。
 
  • 自動化:在安全保護中,自動化的本質是為了為快速的響應。
 
  總結
 
  最后,以安全基礎工作為結尾,在 Gartner2018 十大安全項目就提出了,企業如果想搞這些比較新的項目之前,要先看看自己的基礎安全做得如何,其中包括:
 
  • 已經有了較為先進的 EPP (Endpoint Protection Platform,端點保護平臺),具備諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能;
 
  • 已經做好了基本的 Windows 賬戶管理工作;
 
  • 已經有了 IAM (Identity and Access Management 的縮寫),即 “身份識別與訪問管理”,具有單點登錄、強大的認證管理、基于策略的集中式授權和審計、動態授權、企業可管理性等功能。
 
  • 有了常規化的補丁管理;
   
  • 已經有了標準化的服務器/云工作負載保護平臺代理;
 
  • 具備較為強健的反垃圾郵件能力;
 
  • 部署了某種形式的 SIEM 或者日志管理解決方案,具有基本的檢測/響應能力;
 
  • 建立了備份/恢復機制;
   
  • 有基本的安全意識培訓;
  
  • 具備基本的互聯網出口邊界安全防護能力,包括 URL 過濾能力;
 
  各位,這些工作是否都已經做到做好了呢?
      

責任編輯:admin

】【打印繁體】【投稿】【收藏】 【推薦】【舉報】【評論】 【關閉】 【返回頂部

上一篇沒有了
下一篇安全 5G全面商用前的“人生高考”

熱門文章

圖片主題

最新文章

相關文章

廣告位


[email protected] 網絡通信中國(原VoIP中國) 版權所有
  全國服務電話:010-69397252  4006-888-124
       京ICP證05067673號 京公網安1101111101259
新疆时时彩中奖技巧