Gartner预测了一系列安全趋势,都是可能在2020乃至未来出现的新现象,其中主要包括九个大趋势,预计将对整个行业产生广泛影响和巨大变革。
趋势1:扩展的检测和响应能力兴起,提升检测的准确性和安全效率。
扩展的检测和响应,我们通常缩写成XDR。像市场上的很多技术创新一样,XDR的出现是源于市场的需要,这是现有的工具和服务的所无法满足的。
XDR与SIEM或SOAR的关键区别是数据的使用方式,以及实现数据的系统可用方式。XDR系统中的所有数据都已实现了标准化,这意味着XDR数据在不同系统实现了一致性和可读性。这可能包终端点、Web、电子邮件、身份和数据分析等。
标准化是XDR的重要特点之一。实现了标准化,就很容易推进自动化,并实际开始进行安全检测。SIEM、SOAR系统则没有对数据进行标准化。这导致很难分析网络中的活动、变化和行为,从而确定真正的攻击行为。
因此,现在很多SIEM平台主要发挥日志采集的作用,用于审计和合规报告。XDR则可以实现真正的检测工作流程。
建议:
评估一下企业现有的安全工具,以及现有安全能力,发现是否存在空白。如果XDR能够填补这些空白,它对你就是出色解决方案,比较适合你;否则它可能就只是对你没有太多用的新技术。
趋势2:安全流程自动化兴起,旨在消除重复性任务。
近年来已经有很多关于自动化的讨论,但这次所说的自动化有所不同,主要是实现重复性很强、单调无聊任务的自动化。如果今后继续由个人手工完成这些任务,甚至会出现错误。
上图显示,我们可以通过SOAR来应对网络安全事件。这种实现流程自动化和集成的方式相对复杂。合规性保证、矩阵集合、任务自动化等明确简单的项目,则可以通过这种自动化的形式轻松实现。
自动化未必一定是什么新鲜的事物,但对这方面的需求越来越多。而且随着XDR等工具的出现,我们已经具备了满足这一需求的能力。
建议:
对于利用自动化优势,现在开始准备自动化的流程、编写行动指南,以推动自动化的进行。自动化工具自己并不会自动开始推动流程自动化。自动化工具必须根据您的需要进行规划。
因此,如果你真的了解如何实现自动化,并且拥有可重复、合理的流程。你就可以开始利用自动化的优势了。
趋势3: 人工智带来保护使用AI的数字业务计划和安全工具,防御基于AI攻击的新安全责任。
安全厂商已开始将人工智能用于安全工具中。大多数机构也以各种不同的方式使用人工智能技术。机构规模越大,人工智能项目可能就越大、越复杂。这里不仅指网络安全,也包括商业情报、供应链等领域。人工智能被用来改进我们的制造工艺,这些并不都是与安全相关。
人工智能最常见的使用方法之一是机器学习。机器学习通常会处理非常庞大的数据集:对这些数据进行分析,寻找共同点,或者预测未来的结果。
如果数据被篡改、数据被更换了,会怎么样?这是我们之前没有考虑过的新漏洞、新攻击面。人工智能是很好的工具,可以帮助我们更好地进行安全防护,更好地经营我们的企业,但它也是攻击者可以利用的工具。攻击者掌握了人工智能的利用方式,掌握了利用人工智能造成破坏和攻击企业的新方法。
建议:
确保安全团队能参与到企业的每个AI项目中,这包括通常上被认为与安全无关的项目。推动人工智能和安全团队合作,确保攻击者可能利用的新攻击面,可以得到安全保护;针对可能遭受的攻击,配置了相应的安全防御手段。
趋势4:部署信息物理系统的机构开始逐步设立首席安全官,负责机构整体安全、整合安全孤岛。
信息物理系统(CPS)是通过有效联网实现的。物联网、运营技术等正在成为网络的一部分。企业、家里和周围环境中,我们与之交互的很多电子产品和组件,现在都已经联网了。这不仅是制造更大的攻击面,而且是在我们以前从未想过的领域制造了更大的攻击面。并且,我们过去一直缺乏有效应对的技能。
因此,越来越多的机构开始设立首席安全官(CSO)的职位。很多可能会说,我们已经有安全工作的负责人,即首席信息安全官(CISO)以及首席信息(CIO)。
为什么这些人不适合担任CSO职位呢?从下面这张图上可以看到,信息技术实际上只是漏洞或攻击面的一个方面。运营技术是一种与IT完全不同的技术领域,尽管我们将两者强制结合起来。
健康、安全和环境等组件会用在我们办公大楼里,用于我们旅行中,以及平时与我们进行互动,现在则处于开放和易攻击的状态。产品、服务和供应链则是我们以前没有关注到的方面。
首席安全官的职责是将所有这些的孤岛和多种技术融合到单个方案中,实现内聚与能力,开展审计和合规性报告,并获取正确的数据。更重要的是,首席安全官应在我们急于推进数字化商业计划时,努力发现新攻击面、新漏洞。
建议:
对于这一趋势的建议是,理清目前所有的信息物理系统和设备,包括所有联网的组件。同时,开始考虑谁来负责这个系统的安全,以及是否有相应的安全计划。
趋势5: 隐私问题成为越来越具有影响力和界限明确的领域。
我们已经听到很多关于隐私问题的讨论。欧盟实行的GDPR等新法规,影响到很多国家,改变了法规、文化以及处理私人信息的方式。
如果是您的机构泄露了用户个人信息或数据,会发生什么?这肯定是要付出代价的:有时是罚款,有时是需要向用户损失补偿的责任。
毫无疑问,数据泄露会导致企业客户流失、声誉会受损。声誉受损还将直接影响到未来的业务。
数据泄露还涉及合规问题,需要调查和解释数据是如何泄露的,未来计划如何预防数据泄露。由于资源被用到其他地方,企业会丧失发展的机会。总之,数据泄露的代价会很高。数据泄露也会是报纸的头条新闻。即使是非技术型的客户、员工,以及机构中的其他人员,也会注意这一问题。
现在的机构是如何应对隐私问题的呢?2019年年底,Gartner的调查中发现,几乎一半的受调查机构开始设立专门处理隐私问题的职位。
这些人的职责是负责企业的个人数据处理,这包括客户数据、员工个人数据,以及机密数据。是否制定了相应的隐私保护计划,目前推进情况如何,计划何时迁移到云端,在云端是否安全,以及是否部署安全措施来确保云端数据的安全。这些问题不只是我们需要担心的事,而是需要采取行动了。现在就开始安排专门的人员,甚至成立团队来负责处理隐私问题吧,这一点越来越重要。无论是全职,还是不定期的开会来处理隐私问题。
建议:
对于隐私问题,我的建议是,审查一下现有的安全策略、隐私政策、审计策略、存储的数据,以及数据使用方式。尤其是那些与消费者密切的机构,需要认真检查收集和使用消费者数据的方式。
如果你收集了大约10字段的个人信息,但只使用其中的3个,收集10个就没有必要。这样做是在给自己增加责任。过去我们可能认为将来会用到这些信息,但我们根本不值得冒这样的风险,去收集、存储这些信息。因此,删除那些未使用或对企业不重要的个人和私人数据吧。
趋势6: 机构开始设立数字信任与安全团队,致力于维护消费者与品牌互动的完整性。
这是与机构的品牌声誉有关的方面。实际上,会计中有专门的项目,这就是企业商誉和品牌价值。因此,那些专注于商业的人士来说,会认识并量化这方面的价值。
但是,随着世界开始进入数字业务领域,也就是数字化转型。我们开始以更加不同的方式与机构和员工互动。声誉变得越来越重要。
尤其是在网上购买产品时,需要从两个产品进行对比选择之时。通常我会了解一下产品的声誉、产品评测和其他买家对产品的评价,然后做出购买决定。产品的品牌声誉、人们对企业的看法非常重要,我比以往任何时候都更加重视这些方面。如果发现有什么不好的地方,今后可能就不会购买这个品牌的产品。
企业该怎么如何应对呢?保护自己产品的最好方法是理清你与消费者或外界互动的所有方式。了解品牌声誉如何因网站访问受到损害。例如,假冒域名,有人输错网址,进入到其他网站。这不是你的错,但这些会给品牌带来不好的印象。客户互动、结账和登录的速度、搜索引擎上的排名、社交媒体评价,这些体验都非常重要。
对很多机构来说,这都是以前未曾涉足过的。但也有机构组建了专门的团队,就是为了处理这方面的事情。
建议:
找到机构与外部的所有互动界面,并组建小型团队负责此事。这并不是要组建全职的团队,只是意味着共同面对这一问题,并考虑机构是否处于良好的状态,是否在监控所需监控的一切,以确保机构的声誉不会受到损害。
趋势7: 网络安全正从设备模式转型为基于云的模式,即融合网络安全与综合广域网功能的安全访问服务边缘(SASE)。
SD-WAN等市场出现将网络和安全产品集成和整合的趋势,开始在云端托管安全服务。但仅仅在云中托管安全设备是不够的,它需要部署在云边缘。
将其放置到靠近网络用户的地方,使其可以实现很好的性能,在云端实现一些此前从未想过、一直在本地的功能。这是SD-WAN最大的变化之一。
因此,网络供应商、防火墙供应商、安全网关供应商、CASB 供应商,以及新兴的零信任网络访问(ZTNA)等五个领域都整合到WAN市场。
对这一趋势,我的建议是,现在还不需要将这5个领域整合在一起。对这个模型和方向,预测未来最终将成为同一个市场、拥有同一个买家,使用同一个预算。只是现在还不成熟。
在网络侧,SD-WAN和防火墙正走向整合。如果想购买SD-WAN,你需要询问防火墙供应商是否提供这种产品。另一方是连接远程工作人员。网关和 CASB 供应商多年一直互相提供支持服务。
在目前,不要浪费时间试图寻找可以满足所有需求的解决方案,因为还需要一、两年的时间才可以实现。
建议:
对这一趋势,我的建议是,现在还不需要将这5个领域整合在一起。对这个模型和方向,预测未来最终将成为同一个市场、拥有同一个买家,使用同一个预算。只是现在还不成熟。
在网络侧,SD-WAN和防火墙正走向整合。如果想购买SD-WAN,你需要询问防火墙供应商是否提供这种产品。另一方是连接远程工作人员。网关和 CASB 供应商多年一直互相提供支持服务。
在目前,不要浪费时间试图寻找可以满足所有需求的解决方案,因为还需要一、两年的时间才可以实现。
趋势8: 保护云原生应用动态需求的全生命周期方法兴起。
现在机构的工作负载已从本地迁移到云端。即使在本地,我们数据中心的工作方式也与云端非常相似。
现在很多计算和存储都是虚拟的,我们可以根据需求随意移动工作负载,这和我们5年甚至10年前完全不同。当时,我们会安装硬件服务器,尽管没有太多工作负载。但我们可以看到、触摸和保护它,因为我们知道它一直在那里。
现在,工作负载可以移动到任何地方,甚至移动公有云上。因此,我们过去使用的工具将来不再完全有效。继续使用这些工具通常不会取得很好的效果。
下面的金字塔图表展示了云工作负载保护所必需的技术。有些在硬件服务器上可能从来不会需要,比如防火墙、网络分区,但对于云端工作负载现在却是至关重要的。
使用公有云等服务,会让我们放弃了一些控制权,但服务的潜力、灵活性和敏捷性等很多优势都是我们以前所无法获得的,尤其是在新冠疫情期间,许多员工甚至无法进入办公室工作,这些优势就显得尤为重要。
建议:
不要再认为服务器会一直存放公司楼宇硬件设备和本地数据中心里;不要再认为保护云工作负载的方式与在过去十年保护服务器的方式是一样的。事实上,你必须从头开始,重新规划你的云端安全防护。
趋势9: 零信任网络访问(ZTNA)开始取代VPN
这是去年底爆发和蓬勃发展的趋势。随着新冠疫情在全球范围的爆发,对过去到公司上班、但现在只能远程访问公司私有网络的员工来说,这一技术趋势变得非常有意义和非常重要。
ZTNA会经常被与虚拟私人网络(VPN)相比较。ETNA解决了VPN的一些弱点。比如VPN很脆弱,一旦网络设置有任何改动,就需要更改VPN规则配置,这非常困难。因此,我们制定了越来越多的通用规则。这意味着经常允许员工访问任何网络。不仅仅是完成工作所需的一小部分,而是整个机构内部的一切,但这并不是个好主意。零信任网络访问(ZTNA)就像它的名字一样是要“零信任”,这是我们目前积极拥抱的重要安全理念。
ZTNA(零信任网络访问)是一种叠加技术,使你可以对网络不做任何更改。甚至可以继续保留使用VPN,但你可以开始将用户与服务进行连接,也就是他们所需访问的一切,不会再访问额外的网络区域。这样你就拥有了零信任的环境,拥有很大的灵活性,因为ZTNA是一种叠加技术。
对于这场全球疫情来说,ZTNA是非常重要的技术。顺便说一下,软件定义边界(SDP)和ZTNA是相同的技术。
ZTNA 也是基于云端的。当进行网络改动时无需购买硬件,比如过去有50名员工可能随时需要从网络移除,现在有1万员工需要临时从网络移除,这通过ZTNA是可以实现,只是增加了云端容量,无需购买硬件,是一种非常简单的方式。
建议:
重新考虑网络与服务器安全重点,投资于为云优先和零信任设计的解决方案。
本文基于Nat Smith在2020北京网络安全大会的演讲整理。
关于作者
Nat Smith,Gartner 技术服务部研究总监,关注新兴技术和趋势。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。