3月18日，2024年度Gartner網絡安全風險管理峰會在澳大利亞悉尼開幕。在本次會議中，Gartner提出了對未來2-5年全球企業(yè)組織數字化風險發(fā)展和網絡安全建設的8個趨勢預測。其中，生成式人工智能（GenAI）的采用成為了最受業(yè)界關注的預測方向之一，被認為將顯著縮小企業(yè)組織的網絡安全技能差距，并減少由欺詐驅動的網絡安全攻擊事件。

Gartner首席分析師Deepti Gopal表示：“隨著深入挖掘GenAI帶來的應用價值，我們認為其有望解決一些長期困擾網絡安全行業(yè)發(fā)展的難題，比如專業(yè)人才短缺和不安全的內部人員行為等。Gartner今年所提出的8點預測，并不側重在網絡安全技術層面，而是重點關注了行業(yè)發(fā)展中人的因素。我們建議首席信息安全官（CISO）在制定高效且可持續(xù)的網絡安全計劃時，能夠充分考慮并適應這些趨勢，并把它們列為最優(yōu)先的工作事項?！?/p>

預測1、到2028年，GenAI技術的采用將顯著縮小企業(yè)組織的網絡安全技能缺口，50%的入門級網絡安全崗位不再需要專業(yè)安全人員。

正如我們所看到的廣泛宣傳一樣，GenAI技術將改變企業(yè)雇用和培養(yǎng)網絡安全人員的方式。主流的AI技術平臺已經提供了會話增強功能，并且會不斷優(yōu)化完善。因此，Gartner建議網絡安全團隊應致力于支持用戶工作的內部GenAI用例，并且與人力資源合作伙伴保持溝通，將人才招聘的重點轉向那些更重要的高級網絡安全崗位。

預測2、到2026年，通過將GenAI與組織的安全行為與文化計劃（SBCP）相互集成，企業(yè)將減少40%由內部員工引發(fā)的網絡安全事件。

企業(yè)越來越關注安全意識培訓時的個性化參與，并將其視為有效SBCP的重要組成部分。GenAI有望生成高度個性化的內容和培訓材料，充分考慮到每一個員工的獨特屬性。在Gartner研究人員看來，這將顯著增加員工在日常工作中采取更安全行為的主動性，從而減少內部威脅風險和安全事件。

Gopal表示，還沒有采用GenAI功能的企業(yè)應該立刻評估當前的安全意識培養(yǎng)模式和服務合作伙伴，以判斷如何利用GenAI作為下一步解決方案路線圖的關鍵部分。

預測3、到2026年，75%的企業(yè)組織將把本地化系統(tǒng)、遺留系統(tǒng)和非托管系統(tǒng)排除在零信任策略之外。

按照零信任策略，用戶和端點應該只被賦予其完成工作所需要的最低訪問權，并根據不斷變化的威脅態(tài)勢進行持續(xù)監(jiān)控。在生產環(huán)境或關鍵任務環(huán)境中，這種“零信任”的概念并不普遍適用于非托管設備、遺留應用程序和線上線下系統(tǒng)（CPS），這些系統(tǒng)更適合在注重安全性和可靠性的特定網絡環(huán)境中執(zhí)行特定任務。

預測4、到2028年，全球企業(yè)組織用于打擊虛假信息的支出將超過5000億美元，這將占用企業(yè)50%以上的網絡安全預算。

隨著大模型技術的應用，那些不法分子也會廣泛結合人工智能、數據分析、行為科學、社交媒體、物聯網及其他技術，以快速生成和傳播大規(guī)模定制的虛假或錯誤信息。在此背景下，Gartner建議CISO應立即啟動治理、設計和執(zhí)行面向整個企業(yè)的反虛假信息計劃，明確相關的管理要求和責任，并購置使用基于混沌工程測試彈性的先進工具和技術來幫助解決這個問題。

預測5、到2026年，40%的身份和訪問管理（IAM）領導者，將進一步增強其在身份安全威脅檢測和響應方面的管理責任。

企業(yè)的IAM領導者經常竭力闡明身份安全的重要性以及對業(yè)務發(fā)展的價值，以爭取相應投資，但他們卻并不能實際參與到資源采購和預算決策的討論中。隨著企業(yè)IAM領導者越來越重要，他們將往不同的方向發(fā)展，在組織中也將會有更大的責任、知名度和影響力。Gartner建議CISO應通過有機整合身份安全管理計劃和網絡安全防護計劃，讓所有利益相關者深入了解IAM的應用價值和作用，從而打破傳統(tǒng)的IT安全孤島。

預測6、到2027年，70%的企業(yè)將把數據防泄漏、內部風險管理、IAM管理機制有效整合起來，以便更有效地識別網絡中的可疑行為。

隨著數字化應用的不斷深入，企業(yè)對實現全面網絡風險控制的需求越來越大，這將促使網絡安全服務商開發(fā)出更加系統(tǒng)化的風險控制和數據防泄漏綜合解決方案。這也將為組織的網絡安全團隊提供一系列更完整的安全防護能力，以創(chuàng)建同時適用于數據安全、身份安全、內部風險防護的統(tǒng)一安全策略。Gartner建議企業(yè)應重點關注如何識別業(yè)務發(fā)展中的數據風險和身份風險，并將它們作為未來網絡安全策略制定的主要指導。

預測7、到2027年，30%的網絡安全管理團隊將能夠實現安全能力左移，他們會重新設計可供非網絡安全人員直接使用，并由應用程序本身自帶的應用安全防護機制。

企業(yè)的技術人員和分布式交付團隊會創(chuàng)建數量、種類和環(huán)境各異的應用程序，這意味著應用系統(tǒng)潛在的風險遠遠超出了專門應用程序安全團隊的能力范圍。Gopal表示，為了彌補這個缺口，網絡安全職能部門必須確保應用開發(fā)和技術支持團隊擁有最基本的安全專業(yè)知識，將技術和培訓相結合，以打造根據網絡風險自動做出合理決策所需的強大能力。

預測8、到2027年，三分之二的全球100強企業(yè)組織將為其網絡安全領導者提供董事和高管（D&O）險，以應對法律監(jiān)管風險。

新的網絡安全法律法規(guī)要求組織的網絡安全領導者也要承擔個人責任，比如美國證券交易委員會的網絡安全披露和報告規(guī)則。CISO的角色和職責需要根據相關的報告和披露予以更新。Gartner建議企業(yè)應為該職位投保D&O險以及其他保險和補償，以減輕個人的法律責任、職場風險和處罰費用。

參考鏈接：

https://www.gartner.com/en/newsroom/press-releases/2024-03-18-gartner-unveils-top-eight-cybersecurity-predictions-for-2024