在2018 Gartner 安全與風(fēng)險(xiǎn)管理峰會(huì)上，Gartner研究副總裁兼杰出分析師Neil MacDonald 談道：“企業(yè)須致力于那些能夠大幅度降低風(fēng)險(xiǎn)并能夠?qū)I(yè)務(wù)產(chǎn)生很大影響的項(xiàng)目上”。為了幫助cso官們著手實(shí)施，MacDonald 先生分享了2018年Gartner為安全團(tuán)隊(duì)建議的十大新項(xiàng)目。MacDonald 還解釋道：“這些都是獨(dú)立的項(xiàng)目，而非項(xiàng)目集。它們各自都有真正的基礎(chǔ)技術(shù)”。他還談道，對(duì)于大多數(shù)CSO來說，這些項(xiàng)目都是新鮮事物，企業(yè)采用率還不到50%。

同樣地，安全這個(gè)話題在2019年依然繼續(xù)。近期，Gartner在一篇客座文章中，汲取了分析人士的見解，指出了2019年CIO們應(yīng)該關(guān)注的十大安全項(xiàng)目。

Gartner表示，安全與風(fēng)險(xiǎn)管理(SRMs)的企業(yè)管理者經(jīng)常在平衡和優(yōu)先考慮跨技術(shù)、人員和流程的投資方面遇到困難。安全團(tuán)隊(duì)錯(cuò)誤地假設(shè)他們可以成功地實(shí)現(xiàn)新項(xiàng)目，而不需要首先正確地驗(yàn)證他們是否具備基本的安全功能和風(fēng)險(xiǎn)評(píng)估。

以下是2019年十大安全項(xiàng)目，其中圖表第二行中的五項(xiàng)是在去年的基礎(chǔ)上進(jìn)行過修改過或者全新的項(xiàng)目：

項(xiàng)目1：特權(quán)訪問管理(PAM)

PAM項(xiàng)目應(yīng)該幫助組織發(fā)現(xiàn)并對(duì)特權(quán)帳戶應(yīng)用適當(dāng)?shù)目刂?，這樣黑客就很難訪問它們。

PAM項(xiàng)目必須支持本地、混合和云環(huán)境，并且至少為所有管理員和第三方使用多因素身份驗(yàn)證(MFA)。SRM管理者可以通過基于風(fēng)險(xiǎn)的方法(高價(jià)值、高風(fēng)險(xiǎn))優(yōu)先考慮特權(quán)訪問帳戶。

項(xiàng)目2：持續(xù)性適應(yīng)風(fēng)險(xiǎn)與風(fēng)險(xiǎn)信任評(píng)估支持(CARTA)的漏洞管理

基于持續(xù)自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估(CARTA)方法，SRM管理者需要采用一種策略方法，其中安全性是自適應(yīng)的。

顯然，安全團(tuán)隊(duì)不能修補(bǔ)出現(xiàn)的每個(gè)漏洞，但是可以通過正確地優(yōu)先考慮IT的業(yè)務(wù)價(jià)值和相關(guān)風(fēng)險(xiǎn)之間的交叉，而不是只考慮漏洞，來顯著降低風(fēng)險(xiǎn)。查看當(dāng)前的威脅和漏洞管理產(chǎn)品和流程來實(shí)現(xiàn)這一點(diǎn)。

項(xiàng)目3：檢測(cè)和響應(yīng)

從來沒有“完美的保護(hù)”這回事，但是考慮數(shù)據(jù)管理和妥協(xié)指標(biāo)(IOCs)的檢測(cè)和響應(yīng)項(xiàng)目肯定會(huì)朝這個(gè)方向發(fā)展。

向端點(diǎn)保護(hù)平臺(tái)(EPP)供應(yīng)商提供端點(diǎn)檢測(cè)和響應(yīng)(EDR)功能，然后確定哪些功能最適合與安全程序的其余部分集成。

項(xiàng)目4：云安全態(tài)勢(shì)管理(CSPM)

對(duì)云服務(wù)的絕大多數(shù)成功威脅都是客戶配置錯(cuò)誤、管理不善和錯(cuò)誤的結(jié)果。SRM管理者應(yīng)該對(duì)CPSM過程和工具進(jìn)行投資，以主動(dòng)和反應(yīng)性地識(shí)別和糾正這些風(fēng)險(xiǎn)。

項(xiàng)目5：云訪問安全代理商(CASBs)

已經(jīng)采用多個(gè)軟件即服務(wù)(SaaS)應(yīng)用程序的組織可以使用CASBs來增強(qiáng)跨多個(gè)基于云的服務(wù)的可見性和控制。

項(xiàng)目6：飯商業(yè)電子郵件失陷(BEC)

這是2019年新一波安全項(xiàng)目浪潮中的第一個(gè)。在網(wǎng)絡(luò)釣魚和定義不清的業(yè)務(wù)流程方面有問題的SRM管理者可以從BEC項(xiàng)目中受益。

BEC項(xiàng)目應(yīng)該同時(shí)關(guān)注電子郵件技術(shù)控制和對(duì)特定于組織的流程分解的更好理解，比如財(cái)務(wù)交易的電子郵件審批或數(shù)據(jù)披露。

項(xiàng)目7：暗數(shù)據(jù)挖掘

對(duì)于SRM管理者來說，擁有未知數(shù)量的暗數(shù)據(jù)是很自然的——這些數(shù)據(jù)提供的價(jià)值很少，而且風(fēng)險(xiǎn)無法測(cè)量——但是他們?nèi)匀豢梢耘p少數(shù)據(jù)占用，并尋找支持?jǐn)?shù)據(jù)整合和存儲(chǔ)的供應(yīng)商。

暗數(shù)據(jù)挖掘的一個(gè)強(qiáng)大驅(qū)動(dòng)力是獲得降低組織風(fēng)險(xiǎn)暴露于一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)和其他隱私法規(guī)的能力。

項(xiàng)目8：安全應(yīng)急響應(yīng)

由于安全事件是當(dāng)今數(shù)字業(yè)務(wù)的自然副產(chǎn)品，2019年的安全項(xiàng)目應(yīng)該包括更新安全事件響應(yīng)策略和流程，或者根據(jù)各種不斷變化的因素完全重新編寫這些響應(yīng)。

所以說，對(duì)組織當(dāng)前的事件準(zhǔn)備水平進(jìn)行持續(xù)的評(píng)估從來不是浪費(fèi)時(shí)間。

項(xiàng)目9：容器安全

為了確保在將所有容器發(fā)布到生產(chǎn)環(huán)境之前自動(dòng)掃描以發(fā)現(xiàn)漏洞和配置問題，負(fù)責(zé)保護(hù)容器的安全團(tuán)隊(duì)必須加強(qiáng)持續(xù)集成/持續(xù)交付(CI/CD)管道。

查看可以保護(hù)多個(gè)容器部署的容器安全性，特別是作為服務(wù)提供的新興容器。

項(xiàng)目10：安全評(píng)級(jí)服務(wù)

隨著數(shù)字化轉(zhuǎn)型的成熟，與復(fù)雜生態(tài)系統(tǒng)相關(guān)的風(fēng)險(xiǎn)成為業(yè)務(wù)的一個(gè)組成部分。它不再僅僅關(guān)乎一個(gè)組織的內(nèi)部安全和風(fēng)險(xiǎn)狀況，而是關(guān)乎供應(yīng)商、監(jiān)管機(jī)構(gòu)、客戶、業(yè)務(wù)合作伙伴和平臺(tái)的狀況。

因此，SRM管理者應(yīng)該利用安全評(píng)級(jí)服務(wù)作為額外的數(shù)據(jù)點(diǎn)，為其整體數(shù)字生態(tài)系統(tǒng)(面向公眾的資產(chǎn)等)提供連續(xù)的、獨(dú)立的評(píng)分。