Gartner 2021亚太安全与风险峰会亮点汇总

近日，Gartner亚太区安全与风险管理峰会在线上召开，会上发布了2021年安全与风险管理八大趋势。这八大趋势集合了商业、市场以及技术等不同领域的动态，预计会对整个行业产生深远影响，颠覆现状。其中，身份安全、远程访问安全位列头部趋势。

Gartner宣称，随着新冠疫情加速数字化业务转型，同时传统网络安全实践也备受挑战，安全与风险管理领导者必须积极应对这八大趋势，帮助企业迅速实现重塑。

Gartner副总裁Peter Firstbrook

在Gartner的主题演讲中，Gartner副总裁Peter Firstbrook讨论了2021年安全和风险管理的主要趋势，强调了安全生态系统中正在进行的战略转变，这些转变尚未得到普遍认可，但有望对整个行业产生广泛的影响并具有很大的颠覆潜力。

Peter Firstbrook表示，这些趋势反映了所有企业组织面临的持续不断的全球挑战。他提到：“我们面临的第一项挑战就是技能缺口，很多企业很难找到和聘用安全专业人员。”与此同时，2021年安全与风险管理领导者还面临更多其他挑战，比如说复杂的地缘政治形势、越来越多的全球法规、迁移出传统网络的工作场所和工作负载、终端和位置的激增、攻击环境多变等。尤其是，勒索软件和商业邮件的入侵也复杂化了挑战。

这里吐槽一下Garnter的这张图，和以往风格完全不一样，第一眼一种诡异的气息迎面而来。不知道这是不是也是本次疫情推动下Gartner的“新常态”。

趋势一：网络安全网格

网络安全网格是一种现代安全方法，包括在最需要的地方部署控制措施。网络安全网格通过提供基础安全服务以及集中式策略管理和编排功能，使诸多工具能够协同操作，而不是在孤岛模式下使用安全服务或工具。现在大多数IT资产在企业传统边界以外，网络安全网格这种架构可以让组织将安全控制措施的覆盖范围扩大到零散的资产。

趋势二：身份优先安全

这是多年来的理想愿景：所有用户可以随时随地访问(通常叫做“身份即新安全边界”)。由于技术和文化转变，加之当前新冠疫情时期远程办公的普遍性，该愿景已成为现实。身份优先安全将身份置于安全设计的核心，与传统的局域网边缘设计思想大不相同。

Firstbrook表示：“SolarWinds攻击表明了我们在管理和监控身份方面做得不够好。虽然企业组织在多因素身份验证、单点登录和生物特征身份验证上花费了大量金钱和时间，但在有效监控身份验证以发现针对该基础架构的攻击上所花的资金和时间却少之又少。”

这句话算是总结到位了，企业花大把的金钱和精力放在采购和方案设计上，而对于落地性和效果却很少关注，虎头蛇尾的项目从未减少。我们只关注高大上的方案，新潮的技术，至于落地和效果，那是以后的事。

趋势三：远程工作得到安全支持

据Gartner《2021 Gartner CIO Agenda Survey》显示，现在64%的员工能够在家办公。Gartner的调查显示，至少30%至40%的人疫情后会继续远程办公。对于许多组织而言，这种转变需要重新考虑适合现代远程办公场所的策略和安全工具。比如，端点保护服务将需要成为一种云交付的服务。安全主管还需要重新考虑用于数据保护、灾难恢复和备份的策略，以确保它们仍适用于新的远程环境。

趋势四：精通网络(知识)的董事会

在Gartner的《Gartner 2021 Board of Directors Survey》中，许多董事将网络安全评为企业面临的第二大风险源，仅次于合规。大企业正开始在董事会层面设立专门的网络安全委员会，由具有安全专长的董事会成员或第三方顾问担任负责人。

Gartner预测，到2025年，40%的董事会将设有专门的网络安全委员会，由称职的董事会成员监督，而今天这个比例不足10%。

可以看出安全真的是未来无论是基础设施、企业还是政府部门等等的基础标配，预计未来网络安全会成为一个独立分支，不再依附于IT之下，因为其重要性日渐提升，CISO可能将直接向CEO进行汇报。那种在运维手下做安全的日子可能要一去不复返了。

趋势五：安全供应商整合

Gartner的《2020 CISO Effectiveness Survey》发现，78%的CISO在其网络安全供应商产品组合中至少有16种工具，12%的CISO至少有46种工具。组织中大量安全产品增加了复杂性、集成成本和人员配备要求。在Gartner最近的一项调查中，80%的IT组织表示它们计划在今后三年内整合供应商。

Firstbrook先生认为：“CISO渴望整合他们要处理的众多安全产品和供应商。如果拥有较少的安全解决方案，就能轻松正确地配置、响应报警，从而改善安全风险状况。但是，购买一种更广泛的平台从实施所需的成本和时间来看可能存在不足。我们建议关注长期的总体拥有成本(TCO)，作为衡量成功的标准。”

这个问题应该是老生常谈了，尤其在传统企业中更是十分突出，以至于形成一种混合IT的场景，运维非常复杂，成本也很高。感觉这里Gartner是在预示SASE这种平台服务(当然也可以私有化部署)，或者是目前各家大厂主推的零信任框架解决方案，可以明显减少复杂供应链和产品类别的问题。这方面AWS、Zscaler都是比较好的例子。

趋势六：增强隐私计算

增强隐私计算技术正在兴起，该技术可以在数据使用时保护数据，而不是在数据静止或移动时保护，以确保安全的数据处理、共享、跨境传输和分析，即使在不受信任的环境下也可满足需求。这项技术越来越多地实施在欺诈分析、情报、数据共享、金融服务(如反洗钱)、制药和医疗保健等领域。

Gartner预测，到2025年，50%的大型组织将采用增强隐私计算，用于在不受信任的环境或多方数据分析使用场景中处理数据。

这里应该是指多方计算、联邦学习、差分隐私、同态加密等技术的应用，因为这些技术目前的应用情况也比较初级，那么这里的增强隐私计算具体是指加强这些技术的应用还是增强技术本身的能力，可能要等官方后续的说明了。

趋势七：泄露和攻击模拟

如今出现了泄露和攻击模拟(Breach and attack simulation,BAS)工具，可提供连续的防御态势评估;相比之下，渗透测试所提供的的年度积分评估可见性就比较有限。当CISO将BAS纳为其常规安全评估的一部分时，可以帮助团队更有效地发现环境中的安全缺口，并能更高效地确定安全计划的优先级。

趋势八：管理机器身份

机器身份管理旨在建立和管理与其他实体(比如设备、应用程序、云服务或网关)交互的机器的身份可信。现在组织中的非人类实体越来越多，这意味着管理机器身份已成为安全策略的一个重要组成部分。