2022年Gartner安全與風險管理峰會熱點匯總 - 網安 - 專業的網絡安全產業、社區、知識平臺

2022年Gartner安全與風險管理峰會倫敦站于9月14日結束。該活動討論了許多企業界非常關注的網絡安全和風險管理熱點議題，例如：

解決關鍵的戰略要務，例如制定敏捷的安全戰略
培養以人為本的安全意識文化
風險責任權力下放
建立一個新的簡化的網絡安全網格架構

隨著全球企業加速向數字化和敏捷運營轉型，企業的風險狀況正在發生巨變。Gartner此次會議重點討論了企業必須在2023年之前建立的新安全環境，這包括重新審視和思考當前的安全和風險評估思維，簡化程序和組織層面的安全保障，并建立安全意識文化。

以下是為期三天的安全會議的主要亮點。

十個核心風險管理實踐

安全和風險管理(SRM)高管正在努力推動其網絡和IT風險管理流程超越風險評估。Gartner副總裁分析師Jie Zhang認為SRM高管可以使用以下十個核心風險管理實踐來確保其公司IT風險管理目標的成功：

確定控制要求
進行業務影響分析
定義風險參數和風險管理策略
進行風險評估和評估控制
在風險登記冊中記錄風險并持續溝通
在項目生命周期中嵌入風險評估、安全測試和治理
投資于減少技術債務
確定范圍
監控損失風險和其他指標
嵌入組織范圍內的風險處理態度

云安全的關鍵戰略和要點

云安全是一項關鍵責任。然而，公共云服務提供商自身導致了許多獨特的威脅。在本次會議上，Gartner高級總監分析師Charlie Winckless強調了解決基礎設施即服務(IaaS)和軟件即服務(SaaS)的主要安全難題。Gartner提出了企業云安全戰略的四個關鍵步驟：

云安全的關鍵要點

在采用云計算的早期階段，一些企業開始在云中采用傳統的安全技術。這種策略可能在短期內有效，但是當應用程序和DevOps團隊采用云原生服務時，傳統的安全技術可能無法服務于這些用例。
資源保護、云配置、工件掃描和DevSecOps支持都必須在云原生安全中得到解決。
云原生企業及其安全投資可以提供對未來安全狀況的洞察。
使安全性與底層架構和業務的重要性保持一致，沒有萬靈藥。
由于云安全功能可能會更新且適應性更強，因此請在適當的時候將它們整合到您的本地系統中。
更多地考慮云安全愿景，未來的技術和趨勢可能包含：云提供商成為安全提供商、安全或策略即代碼、數據和云主權、機密計算等。

如何有效地準備和應對不斷

變化的威脅環境

攻擊者正在根據企業的發展動態調整他們的方法和計劃，威脅環境也在演變。Gartner副總裁分析師Jeremy D'Hoinne為安全和風險管理高管提供了重要的建議，以應對頂級、高級和新興威脅。Gartner建議安全和風險管理人員關注三類風險：公認的常見主要威脅、高動量威脅以及新出現的、獨特的和不可預測的危險。

主要威脅：公司敏銳地意識到由于潛在發展而年復一年仍然存在的威脅。
高動量威脅：正在上升但其意識還不能與頂級威脅相提并論的威脅。
新興威脅：較罕見、不太明顯但嚴重到足以引起安全和風險管理主管關注的威脅。

關鍵要點

在與主流威脅作斗爭時，請密切關注那些導致脆弱面擴大的微觀趨勢。通過匯報這些主要威脅的微觀趨勢，安全團隊可以爭取到管理層對安全控制升級的持續投資和支持。
在安全運營部門內建立系統，以分析新興和高動量威脅的影響。從API、供應鏈和網絡物理系統(CPS)風險開始，重點關注風險意識、暴露管理、狀態驗證和基本安全衛生。
對于新興和未來的威脅，專注于網絡彈性并將安全與組織領導者（的戰略）聯系起來，以預見由于業務轉型而導致的攻擊面的增長。

2022年安全運營的巨變

安全運營的規劃和輸出方式正在發生巨大變化。Gartner副總裁分析師Pete Shoard在網絡研討會期間列舉了2022年影響企業安全運營變革的關鍵技術、程序和服務。

企業制訂2022年安全運營戰略時需要重點關注以下三個方面：

如何優化威脅情報和威脅搜尋的價值。
能見度提升的重點是如何最大限度地減少暴露。
自動化和人工智能對您的安全運營是否有現實意義。

關鍵要點

評估威脅情報聽起來很困難，事實往往也是如此。但是，您可以給情報源制訂評估指標，以評估它們產生了多少可操作的指示，并衡量其是否有助于減少誤報。
初期可以考慮用威脅情報幫助威脅狩獵，或者填補體系空白。將威脅狩獵正式化并使之成為SecOps計劃的基本功能，在日程中安排時間來完成它。
攻擊面、漏洞和驗證是暴露控制的三大支柱。
多種暴露管理技術可用于增強檢測分析的廣度、自動化和準確性。
在投資自動化或人工智能解決方案之前，必須首先設計一個流程并配合一些資源來監控成效。

2022-2023年隱私前景預測

隱私顯著影響著企業的數字化轉型計劃，并且是企業開發新客戶參與模式和團隊成員關系的核心。在會議上，Gartner副總裁分析師Nader Henein回顧了2022年及以后隱私領域的法律和技術演變，提出隱私治理的三個起點：

隱私體驗：隱私體驗包含通知與政策、cookie管理、CPM、對象權益管理等。
隱私管理：隱私管理包括隱私映射、ROPAs、PIA自動化；關注中央數據庫合規問題的可以此為起點。
隱私控制：隱私控制包括發現、分類、PEC工具；試圖控制流程活動的可以此為起點。

關鍵要點

法律隱私環境正變得越來越復雜，面對這樣的限制，企業不能僅僅使用清單來追求合規性，必須適應并變得更有效率。
隱私部門的平均預算為220萬美元，不太可能獨占太多預算。因此，隱私主管必須找出合理路徑并尋求其他業務部門的幫助。
鎖定能夠幫助推進隱私計劃的關鍵人物，然后確定這些利益相關者在未來兩到三年內的重要目標，看看您是否可以與之匹配的一項或多項（隱私）功能。
隱私控制是以數據為中心的工具，可以在數據級別獲得洞察力并實現管理，例如自動數據查找和映射工具，類似于計時器或健身追蹤器。
它們通常被稱為隱私平臺或隱私管理系統，是合規相關文書工作的主要存儲庫。這些技術有助于評估風險、處理運營文檔以及創建隱私計劃報告。
隱私用戶體驗包括顯示和管理通知和政策聲明、記錄消費者同意和偏好以及處理主體權利請求的功能。