上周Gartner在“2024年網(wǎng)絡(luò)安全六大趨勢(shì)”報(bào)告中指出,，新的一年中改變企業(yè)網(wǎng)絡(luò)安全市場(chǎng)的六大驅(qū)動(dòng)力和趨勢(shì)分別是：

生成式人工智能(GenAI)

不安全的員工行為

第三方風(fēng)險(xiǎn)

持續(xù)的威脅暴露

董事會(huì)溝通差距

身份優(yōu)先的安全方法

Gartner的預(yù)測(cè)，2024年將是企業(yè)高度重視安全文化建設(shè)的一年,，同時(shí)也將誕生首個(gè)生成式人工智能驅(qū)動(dòng)的安全產(chǎn)品,，到2025年，這些工具將帶來真正的風(fēng)險(xiǎn)管理成果,。

近日,，Gartner高級(jí)研究總監(jiān)分析師Richard Addiscott對(duì)“六大趨勢(shì)”進(jìn)行了深入解讀，具體如下：

趨勢(shì)一：CISO對(duì)生成式人工智能既愛又怕

Addiscott指出,，在不久的將來,，生成式人工智能可以幫助安全部門提高防御能力，包括漏洞管理,、威脅情報(bào)和響應(yīng)等領(lǐng)域,。

“生成式人工智能還可以幫助安全團(tuán)隊(duì)提高運(yùn)營效率,，這在當(dāng)前全球網(wǎng)絡(luò)安全人才短缺的情況下，是關(guān)鍵的業(yè)務(wù)驅(qū)動(dòng)因素,，”他說,。

然而，生成式人工智能的“副作用”也不容忽視,。到目前為止的一些案例顯示,，部分使用生成式人工智能的員工更容易出現(xiàn)提示疲勞，而不是生產(chǎn)力增長(zhǎng),。不過,，企業(yè)仍應(yīng)鼓勵(lì)內(nèi)部和外部的安全部門進(jìn)行試驗(yàn)并管理期望。

Addiscott表示,，盡管許多企業(yè)最初持懷疑態(tài)度,，但對(duì)人工智能技術(shù)仍抱有"堅(jiān)定的長(zhǎng)期希望"。

趨勢(shì)二：安全行為和安全文化在企業(yè)落地生根

安全文化對(duì)所有網(wǎng)絡(luò)安全項(xiàng)目都至關(guān)重要,。根據(jù)Gartner的說法,，越來越多的CISO開始接受這一理念，并采用安全行為和文化計(jì)劃(SBCP),。

Gartner預(yù)測(cè),，到2027年，50%的大型企業(yè)首席信息安全官將采用以人為中心的安全性實(shí)踐,。

Addiscott解釋說,，"SBCP代表了一種更全面、更綜合的方法,，其目的是培養(yǎng)和嵌入更安全的行為和工作實(shí)踐,，貫穿整個(gè)組織,。"

這種策略采取了更加全面的視角,，涵蓋所有企業(yè)角色和職能，而不僅僅關(guān)注最終用戶員工的行為,。

為了支持企業(yè)向這一模式轉(zhuǎn)變,，Gartner開發(fā)了PIPE（實(shí)踐、影響,、平臺(tái),、推動(dòng)因素）框架，指導(dǎo)安全意識(shí)項(xiàng)目中并不常用的實(shí)踐,，例如組織變革管理,、以人為本的設(shè)計(jì)實(shí)踐、營銷和公共關(guān)系以及安全輔導(dǎo),。

PIPE還鼓勵(lì)企業(yè)將員工人口統(tǒng)計(jì),、企業(yè)預(yù)算,、高管風(fēng)險(xiǎn)文化以及數(shù)字和網(wǎng)絡(luò)素養(yǎng)納入其網(wǎng)絡(luò)安全計(jì)劃中。此外,，還可以通過整合來自各種安全工具的員工使用數(shù)據(jù)來個(gè)性化這些計(jì)劃（生成式人工智能也可以在此發(fā)揮作用）,。

Addiscott指出，SBCP允許組織深入挖掘數(shù)據(jù),，以確定哪些員工行為導(dǎo)致了某些安全事件,。例如，他們是否泄露了憑證,、點(diǎn)擊了不安全鏈接或?yàn)E用了電子郵件,。然后，他們可以采取更平衡的方法向前發(fā)展,。

他表示,，高層的支持是至關(guān)重要的，同時(shí)還需要有一個(gè)員工可以理解的"良好安全態(tài)勢(shì)"的愿景,。領(lǐng)導(dǎo)者應(yīng)該意識(shí)到安全文化學(xué)習(xí)沒有"一刀切"的方法,，并且還應(yīng)該定期評(píng)估項(xiàng)目效果。

Addiscott承認(rèn),，"SBCP比傳統(tǒng)的安全意識(shí)培訓(xùn)計(jì)劃要大得多,，而且并非所有企業(yè)都具備擴(kuò)展到超出當(dāng)前能力范圍的能力、成熟度或能力,，可以循序漸進(jìn),，量力而行。"

趨勢(shì)三：用好的安全指標(biāo)彌合董事會(huì)溝通差距

Gartner強(qiáng)調(diào),，隨著全球監(jiān)管機(jī)構(gòu)尋求加強(qiáng)網(wǎng)絡(luò)安全方面的規(guī)則,，2024年董事會(huì)必須更加熟悉組織風(fēng)險(xiǎn)。然而,，Addiscott指出,，董事會(huì)通常缺乏"深入的網(wǎng)絡(luò)安全專業(yè)知識(shí)"。

他指出,，以技術(shù)為中心,、以運(yùn)營為導(dǎo)向、以及過去導(dǎo)向/滯后的網(wǎng)絡(luò)安全績(jī)效指標(biāo)對(duì)企業(yè)高管來說毫無意義,，無法幫助他們真正理解公司面臨的風(fēng)險(xiǎn)以及如何應(yīng)對(duì)風(fēng)險(xiǎn),。

這催生了成果驅(qū)動(dòng)型指標(biāo)(ODM)，它本質(zhì)上是將網(wǎng)絡(luò)安全投資和它們提供的保護(hù)之間直接關(guān)聯(lián),。安全領(lǐng)導(dǎo)者可以用"可視化"方式展示其安全項(xiàng)目的績(jī)效,，并根據(jù)企業(yè)的風(fēng)險(xiǎn)偏好展示所取得的成果。

Gartner表示,，"ODM是制定可辯護(hù)的網(wǎng)絡(luò)安全投資策略的核心,，它反映了具有強(qiáng)大性能的商定保護(hù)級(jí)別,，并用非IT高管可以理解的

趨勢(shì)四：第三方風(fēng)險(xiǎn)管理至關(guān)重要

軟件供應(yīng)鏈正遭受持續(xù)攻擊，第三方發(fā)生網(wǎng)絡(luò)安全事件只是時(shí)間問題,。

Addiscott指出,，CISO應(yīng)該更加關(guān)注"以彈性為導(dǎo)向的投資"，而不是"前期盡職調(diào)查",。

他建議加強(qiáng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高的第三方參與的應(yīng)急計(jì)劃,。此外，還要?jiǎng)?chuàng)建針對(duì)第三方的事件手冊(cè),、進(jìn)行桌面演練并定義明確的“下車”策略（例如及時(shí)撤銷訪問和銷毀數(shù)據(jù)）,。

Addiscott表示，"為企業(yè)數(shù)字化能力建立強(qiáng)大而有彈性的供應(yīng)鏈對(duì)于更廣泛的組織彈性至關(guān)重要",。

趨勢(shì)五：面向未來的網(wǎng)絡(luò)安全技能再培訓(xùn)

毫無疑問,，網(wǎng)絡(luò)安全人才荒并未結(jié)束。Gartner報(bào)告稱,，僅在美國,，合格的網(wǎng)絡(luò)安全專業(yè)人員就只夠滿足當(dāng)前需求的70%。

云遷移,、生成式人工智能應(yīng)用,、運(yùn)營模式轉(zhuǎn)型、不斷擴(kuò)大的威脅環(huán)境和供應(yīng)商整合只會(huì)加劇人才短缺趨勢(shì),，同時(shí)還在不斷產(chǎn)生大量新安全技能需求,。

因此，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者需要摒棄傳統(tǒng)的人才招聘篩選規(guī)則,，例如要求應(yīng)聘者具備"n"年經(jīng)驗(yàn)或特定技能（因?yàn)檫@些技能可以學(xué)習(xí)）,。他們應(yīng)該著眼于招聘"相關(guān)技能"、"軟技能"（例如商業(yè)敏銳度,、口頭溝通和同理心）以及全新網(wǎng)絡(luò)安全角色需要的“新技能”,。

Gartner建議企業(yè)制定網(wǎng)絡(luò)安全勞動(dòng)力計(jì)劃，記錄所需技能并展示角色將如何演變,。他們還應(yīng)該培育學(xué)習(xí)文化,，通過"迭代,、短時(shí)間的爆發(fā)"而不是"瀑布式"的培訓(xùn)來納入實(shí)踐技能開發(fā),。

值得注意的是，Gartner強(qiáng)調(diào)"要為未來招聘,，而不是為過去招聘",。職位描述應(yīng)該刪除"大牛"要求，即那些幾乎沒有應(yīng)聘者可以達(dá)到的“理想人才標(biāo)準(zhǔn)”,。

趨勢(shì)六：IAM和持續(xù)威脅暴露管理(CTEM)勢(shì)頭強(qiáng)勁

近年來,，隨著SaaS應(yīng)用加速,、數(shù)字供應(yīng)鏈擴(kuò)展、遠(yuǎn)程工作和其他因素的推動(dòng),，攻擊面急劇擴(kuò)大,，導(dǎo)致企業(yè)留下了許多盲點(diǎn)。他們的可見性有限,，并且他們的技術(shù)往往是孤立的,。

Gartner表示，為了解決這一問題,，許多企業(yè)正在采用持續(xù)威脅暴露管理(CTEM),。CTEM幫助安全團(tuán)隊(duì)持續(xù)評(píng)估和管理暴露，而不是試圖找到并修補(bǔ)每個(gè)漏洞,。這使他們能夠根據(jù)企業(yè)的具體威脅環(huán)境進(jìn)行修復(fù),。

Gartner預(yù)測(cè)，到2026年,，優(yōu)先考慮CTEM的企業(yè)的違規(guī)事件將減少三分之二,。

與此同時(shí)，身份訪問管理(IAM)變得越來越重要,。Gartner建議企業(yè)"加倍努力實(shí)施適當(dāng)?shù)纳矸菪l(wèi)生措施",。他們還應(yīng)該擴(kuò)展身份威脅檢測(cè)和響應(yīng)(IDTR)，實(shí)施安全態(tài)勢(shì)評(píng)估,，并通過"向身份架構(gòu)演變"來"重構(gòu)"身份基礎(chǔ)設(shè)施,。

總結(jié)：給CISO的六大建議

后疫情時(shí)代，網(wǎng)絡(luò)安全將面臨新的挑戰(zhàn)和機(jī)遇,。生成式人工智能,、安全行為和文化、第三方風(fēng)險(xiǎn)管理,、網(wǎng)絡(luò)安全技能再培訓(xùn),、身份管理以及持續(xù)威脅暴露管理(CTEM)的興起，都將對(duì)網(wǎng)絡(luò)安全格局產(chǎn)生重大影響,。

針對(duì)以上趨勢(shì),，Gartner建議CISO在新的一年：

積極探索生成式人工智能在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用潛力。

培育以人為本的安全文化,，并通過安全行為和文化計(jì)劃(SBCP)提升員工的安全意識(shí),。

加強(qiáng)對(duì)第三方風(fēng)險(xiǎn)的管理，建立強(qiáng)大的供應(yīng)鏈安全體系,。

通過再培訓(xùn)和技能提升,，打造一支適應(yīng)未來需求的網(wǎng)絡(luò)安全人才隊(duì)伍。

不斷完善身份管理體系，以應(yīng)對(duì)日益復(fù)雜的威脅環(huán)境,。

積極采用持續(xù)威脅暴露管理(CTEM)策略,，提升組織的整體安全防護(hù)能力。