Gartner：2021-2022年8大網(wǎng)絡(luò)安全預(yù)測

隱私法案、勒索軟件攻擊、信息物理系統(tǒng)和董事會級別審查，逐漸成為安全和風險負責人需要優(yōu)先關(guān)注的事項。

作者：Kasey Panetta"

如何確保我們的消費者不會受到流氓代理造成的人身傷害?"這是安全和風險負責人在未來需要預(yù)測和規(guī)劃的問題。

信息物理系統(tǒng)(如自動駕駛汽車、數(shù)字孿生)的激增引發(fā)了組織的另一個安全風險。而我們對未來幾年首先要預(yù)測的內(nèi)容之一，就是威脅行為者將如何針對這些系統(tǒng)發(fā)起攻擊。

?"我們正在養(yǎng)成吃老本的壞習(xí)慣，妄圖一招鮮吃遍天，"Gartner主任分析師Sam Olyaei在Gartner IT Symposium/XPO? 2021的演講中說。"這其實難以為繼，我們需要不斷地讓思維、理念、方案和架構(gòu)都保持進步。"?

安全與風險管理已經(jīng)上升為企業(yè)董事會層面的議題。隨著安全漏洞的數(shù)量和復(fù)雜程度不斷攀升，為保護消費者權(quán)益，新的立法相繼出臺，企業(yè)也將安全置于商業(yè)決策的首要位置。

?Gartner分析師預(yù)測，未來幾年將出現(xiàn)更多的權(quán)利下放、監(jiān)管措施和安全問題。您應(yīng)當將這些戰(zhàn)略規(guī)劃設(shè)想納入未來一年的路線規(guī)劃。

1.到2023年底，現(xiàn)代隱私法案將涵蓋全球75%人口的個人信息

GDPR是第一部針對消費者隱私的重要立法，但其他法律很快效仿，包括巴西的《通用個人數(shù)據(jù)保護法》(LGPD)和《加州消費者隱私法》(CCPA)。這些法律所轄的范圍之廣，表明您將在不同的司法管轄區(qū)內(nèi)同時應(yīng)對多項數(shù)據(jù)保護法律，客戶會想知道你收集了什么樣的數(shù)據(jù)以及將如何使用這些數(shù)據(jù)。這也意味著你需要專注于自動化你的隱私管理系統(tǒng)。您應(yīng)當以GDPR為基礎(chǔ)，實現(xiàn)安全運營的標準化，然后針對其他各個司法管轄區(qū)進行調(diào)整。?

?2.到2024年，采用網(wǎng)絡(luò)安全網(wǎng)格(cybersecurity mesh)架構(gòu)的組織，將把安全事件對財務(wù)造成的影響平均降低90%

時至今日，組織需要在不同的地方支持各種技術(shù)，因為他們需要靈活的安全解決方案。網(wǎng)絡(luò)安全網(wǎng)格擴展并覆蓋了傳統(tǒng)安全邊界之外的身份，并構(gòu)建了組織的整體視圖。它還有助于提高遠程工作的安全性。這些需求將在未來兩年內(nèi)推動更多組織采用網(wǎng)格架構(gòu)。

3.到2024年，30%的企業(yè)將采用來自同一供應(yīng)商的云交付安全Web網(wǎng)關(guān)(SWG)、云訪問安全代理(CASB)、零信任網(wǎng)絡(luò)訪問(ZTNA)和防火墻即服務(wù)(FWaaS)功能?

企業(yè)正在傾向于優(yōu)化和整合。安全負責人通常管理著數(shù)十種工具，但他們計劃將其整合至十種以下。SaaS將成為首選的交付方式，而其與硬件的整合將影響選用時限。

4.到2025年，60%的組織將把網(wǎng)絡(luò)安全風險作為進行第三方交易和業(yè)務(wù)往來的主要決定因素。投資者，特別是風險投資人，正在將網(wǎng)絡(luò)安全風險作為評估投資機會的關(guān)鍵因素。越來越多的

組織在商業(yè)交易中關(guān)注網(wǎng)絡(luò)安全風險，包括并購以及供應(yīng)商合同。其結(jié)果是通過問卷調(diào)查或安全評級來獲取合作伙伴更多的網(wǎng)絡(luò)安全計劃數(shù)據(jù)。

5.到2025年底，通過立法來規(guī)范勒索軟件的贖金支付、罰款和談判的民族國家比例將上升至30%，而2021年這一比例還不到1%。

雖然目前可能存在更廣泛的法規(guī)適用于勒索軟件贖金支付，但安全專家應(yīng)當預(yù)測到未來將會針對贖金支付進行更嚴厲地打擊。鑒于加密貨幣市場大多不受監(jiān)管，支付贖金存在倫理、法律和道德方面的問題，因此必須將由此帶來的影響考慮在內(nèi)。支付(或不支付)的決定應(yīng)該由一個能夠解決所有這些問題的跨職能團隊來承擔。

6.到2025年，40%的董事會將會設(shè)立專門的網(wǎng)絡(luò)安全委員會，并由一名具備資質(zhì)的董事會成員監(jiān)督

隨著網(wǎng)絡(luò)安全成為(并持續(xù)作為)董事會最關(guān)注的問題，我們有望看到一個董事會級別的網(wǎng)絡(luò)安全委員會，以及更嚴格的監(jiān)督和審查。這增加了組織對網(wǎng)絡(luò)安全風險的可見性，并需要一個新的董事會報告方式，其細節(jié)可能取決于特定董事會成員的背景和經(jīng)驗。您應(yīng)當將信息傳遞的重點放在在價值、風險和成本上。

7.到2025年，70%的首席執(zhí)行官將要求建立組織彈性文化，以應(yīng)對同時來自網(wǎng)絡(luò)犯罪、惡劣天氣事件、國內(nèi)動亂和政治動蕩的威脅

考慮到更廣泛的安全環(huán)境，我們需要越過網(wǎng)絡(luò)安全，走向組織彈性。數(shù)字化轉(zhuǎn)型增加了威脅環(huán)境的復(fù)雜性，這將影響您生產(chǎn)產(chǎn)品和提供服務(wù)的方式。您應(yīng)當開始制定組織彈性和目標，并建立一個影響它們的網(wǎng)絡(luò)風險清單。

8.到2025年，威脅行為者會成功地將運營技術(shù)環(huán)境武器化，足以造成人員傷亡

隨著惡意軟件從IT(信息技術(shù))領(lǐng)域擴散到OT(運營技術(shù))領(lǐng)域，它將安全話題從業(yè)務(wù)中斷轉(zhuǎn)移到物理傷害，其責任最終可能由CEO來承擔。您應(yīng)當關(guān)注以資產(chǎn)為中·心的信息物理系統(tǒng)，并確保有團隊來解決相應(yīng)的管理問題。

參考來源：gartner.com

文章來源：互聯(lián)網(wǎng)安全內(nèi)參