Gartner釋出2024年網絡安全重要趨勢

”

Gartner公司于近日釋出2024年網絡安全重要趨勢。根據Gartner公司的研究，推動2024年主要網絡安全趨勢的因素包括生成式人工智能（生成式AI）、持續威脅暴露、第三方風險、隐私驅動的應用和資料解耦和網絡安全技能重塑等。

Gartner研究總監陳延全表示：“企業安全職能在技術、組織和人員方面面臨颠覆。風險管理上司者必須進行完善的準備工作并采取務實的态度，以應對颠覆，實施高效的網絡安全項目。”

為了應對這些因素的綜合影響，2024年風險管理上司者需要在其安全計劃中采取一系列實踐方法、技術功能和結構改革，以此提高企業機構的韌性和網絡安全績效。

以下重要趨勢将對這些領域産生廣泛影響。

趨勢一：持續威脅暴露面管理項目展現強勁勢頭

Gartner預測，到2026年，通過持續威脅暴露面管理項目确定安全投資優先級的企業機構，其安全漏洞将減少三分之二。

陳延全表示：“近年來，企業機構的攻擊面急劇擴大，給企業機構帶來了潛在的安全盲點，以及大量需要解決的潛在威脅暴露面。作為應對，安全和風險管理上司者開展了試點項目，引入相關流程來确定威脅暴露面的數量和重要性，并驗證持續威脅暴露面管理（CTEM）項目的效果。”

趨勢二：改善身份與通路管理實踐，充分發揮其在提升網絡安全成功方面的作用

在身份優先的安全方法中，利用身份與通路管理（IAM）取代網絡安全及其他傳統的安全控制措施成為了安全工作的重點。采取身份優先安全政策的企業機構，必須加強對基本的IAM規範以及IAM系統強化的關注，以提升韌性。

趨勢三：以韌性為導向、資源效率更高的第三方網絡安全風險管理

随着第三方遭遇網絡安全事件變得不可避免，安全和風險管理上司者不得不将注意力從涉及大量前期投入的盡職調查轉向了以韌性為導向的安全投資。勇于進取的安全和風險管理上司者已将旨在提升韌性的工作活動列為優先事項，例如實施補償性控制措施和加強事件響應規劃等。同時，他們正在為業務合作夥伴提供有針對性的支援，以幫助其優化與第三方的合作，并且影響與安全控制相關的決策。

趨勢四：隐私驅動的應用和資料解耦，在碎片化的世界中優化營運

Gartner預測，到2025年，10%的全球企業将擁有一個以上受特定資料主權戰略限制的業務機關，進而使創造相同業務價值的成本增加至少一倍。

陳延全表示：“基于國家主義的隐私以及資料保護和本地化要求不斷增多，加劇了企業應用架構和資料本地化實踐的碎片化。數十年來一直以來單租戶應用的跨國企業，面臨着日益增加的合規要求和持續攀升的業務中斷風險。作為應對，具有前瞻性的企業機構正在規劃和實施不同層面的應用和資料解耦戰略。”

趨勢五：GenAI引發短期疑慮，但同時也點燃了長期希望

生成式人工智能（GenAI）引入了新的攻擊面。為提供相關防護，企業機構必須對應用和資料安全實踐以及使用者監控進行變革。到2025年，GenAI的采用将導緻企業機構所需的網絡安全資源激增，進而使應用和資料安全支出增加15%以上。

此外，鑒于ChatGPT等大語言模型應用的興起隻是GenAI颠覆浪潮的開端，安全和風險管理上司者還需要就該技術的快速演進做好應對準備。

趨勢六：安全行為和文化項目在降低人為網絡安全風險方面的作用受到熱切關注

客戶和供應商已經認識到，目前隻關注員工網絡安全意識提升的普遍做法，對于減少員工行為導緻的安全事件效果甚微。

陳延全表示：“安全行為與文化項目（SBCP）是一種企業層面的方法，旨在最大程度減少與員工行為相關的網絡安全事件，無論這些事件是出于一時疏忽還是有意為之。SBCP的主要目标是改變員工行為。到2027年，50%的⼤型企業⾸席資訊安全官（CISO）将采⽤以⼈為本的安全設計實踐，以最⼤限度減少⽹絡安全引發的員工抵觸并提升安全控制的采⽤率。”

趨勢七：網絡安全成果驅動型名額助力安全上司者有效傳達網絡安全價值

網絡安全成果驅動型名額（ODM）是包含特殊屬性的安全營運名額，可以幫助利益相關者在安全投資與其所能實作的保護等級之間建立直接關聯。

各行業企業機構都在網絡安全人員、流程和技術方面進行了大量投資，然而網絡安全事件的發生頻率和負面影響卻在持續攀升。這削弱了董事會和高管對于網絡安全戰略的信心。企業機構正在尋求一種衡量網絡安全價值的方法，既能夠引起高管的共鳴，還可以支援務實、符合業務需求的投資決策。ODM作為最具前景的候選方案之一，受到了越來越多企業機構的青睐。

趨勢八：持續演變的網絡安全營運模式

随着業務線繼續取代IT職能成為技術擷取、建構和傳遞的主體，傳統的網絡安全營運模式逐漸被打破。安全和風險管理上司者正在對網絡安全營運模式進行調整，以滿足業務部門在自主性、創新和靈活性方面的需求。具體而言，安全工作的決策權日益分散化；安全政策的細節逐漸交由邊緣側的業務決策者負責；針對部分治理工作建立了集中和正式的治理機制，以更好地支援業務部門的風險負責人；安全和風險管理上司者的角色也正從控制措施管理者在向價值推動者演變。

趨勢九：重塑網絡安全技能，助力企業機構應對未來風險

到2026年，50%的大型企業将使用靈活學習作為主要的技能提升/重塑方法。

陳延全表示：“安全和風險管理上司者面臨着一系列重大趨勢，而這些趨勢都對網絡安全團隊的技能需求産生了影響。并且，新技能需求的增長速度将會超過新角色、新資格認證、新職位描述和新職位名稱的建立速度。換言之，依靠學習型和發展型解決方案、招聘平台以及人力資源實踐，将無法及時滿足網絡安全的技能需求。”

⽹絡安全團隊需要圍繞靈活學習改善學習和發展計劃，并基于靈活學習通過疊代和短期突擊來優先發展實踐技能。

關于Gartner

Gartner（紐約證券交易所代碼： IT）為企業機構提供切實可行的客觀洞察，助力企業機構在最關鍵的優先事項上做出明智決策，取得出色業績。欲了解更多資訊，請通路http://www.gartner.com/cn。