一、SRM管理者持續(xù)發(fā)布以業(yè)務(wù)成果為導(dǎo)向的實(shí)用的風(fēng)險(xiǎn)偏好聲明，有效提高了利益相關(guān)方的參與度

       為應(yīng)對(duì)當(dāng)前的安全形勢(shì)，風(fēng)險(xiǎn)管理逐漸提上日程，現(xiàn)在已經(jīng)不僅僅是管理好漏洞那么簡(jiǎn)單了，還包括戰(zhàn)略、市場(chǎng)、供應(yīng)商、內(nèi)控、財(cái)務(wù)、資源優(yōu)化等多方面的風(fēng)險(xiǎn)(作為一個(gè)合規(guī)的 CIO，這些應(yīng)該都有一定的了解。記得 Gartner 的一篇文章提到過 CIO 應(yīng)該盡可能的參與到 CEO 和董事會(huì)的會(huì)議中去，能夠向 CEO 和高層建議 IT 方面的一些有價(jià)值和創(chuàng)造性的建議，而不是等著上邊來分派工作，每天只是搞搞 IT 和安全。)一些大型甲方已經(jīng)開始建立自己的風(fēng)控體系，尤其是電商公司，目前面對(duì)比較頭疼的就是 DDoS 攻擊、APT、0day、薅羊毛以及社工。如何應(yīng)對(duì)這些風(fēng)險(xiǎn)將成為未來幾年企業(yè)安全的重中之重，而且前幾天的《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》也提到了要做好風(fēng)險(xiǎn)管理。

       這里所提到的風(fēng)險(xiǎn)偏好，類似金融行業(yè)投資者的投資偏好，主要反映企業(yè)對(duì)于安全的一個(gè)導(dǎo)向和重要指導(dǎo)方針，如何應(yīng)對(duì)安全、預(yù)算是否充足、是否愿意向安全投資、能夠或愿意接受的風(fēng)險(xiǎn)水平是怎樣的?首先做好這些基礎(chǔ)工作，才能開展后續(xù)各項(xiàng)部署、計(jì)劃以及實(shí)施和監(jiān)督改進(jìn)。最后，也是最為關(guān)鍵的一點(diǎn)，不管你擁有多么先進(jìn)的技術(shù)、多么高端的人才或是多么強(qiáng)大的合作伙伴，如果利益相關(guān)方不關(guān)心安全，那么其實(shí)各位也不要太費(fèi)心去做安全，其本身就是一種自上而下的治理方法，沒有上層支持和推動(dòng)，安全工作不會(huì)創(chuàng)造任何價(jià)值。

       二、對(duì)威脅檢測(cè)與響應(yīng)功能的關(guān)注使得SOC部署和優(yōu)化的熱度再次上升

       SOC 吹了有好多年，目前真正可以拿來作為最佳實(shí)踐的案例卻不多，介于目前攻防回合制過家家的打法(你黑我一下，我防你一手，我再找洞，你再修補(bǔ))，預(yù)計(jì)這種僵持的局面可能會(huì)持續(xù)很久，何時(shí)能夠打破僵局，出現(xiàn)一種新的安全防護(hù)手段將是關(guān)鍵。

       既然還身處這樣的環(huán)境，那么就事論事，必須做好當(dāng)前的安全工作。從市場(chǎng)預(yù)測(cè)來看，SOC 已經(jīng)不算新鮮，市場(chǎng)真正關(guān)注的是威脅檢測(cè)與響應(yīng)，非傳統(tǒng)的態(tài)勢(shì)感知，哪些都是吹出來的，目前還沒有真正可稱為態(tài)勢(shì)感知的系統(tǒng)。結(jié)合如今 0day 黑產(chǎn)地下亂竄，APT 和釣魚放長線，社工和羊毛黨隨處可見的時(shí)代，檢測(cè)和響應(yīng)的及時(shí)性和準(zhǔn)確性是關(guān)鍵，能夠第一時(shí)間組織損失，這是企業(yè)最為關(guān)心的事。

       三、領(lǐng)軍企業(yè)利用數(shù)據(jù)安全治理框架來確定數(shù)據(jù)安全投資的優(yōu)先級(jí)

       隨著《GDPR》出臺(tái)，一年來效果顯著，確實(shí)起到了一定的約束效力。但對(duì)于企業(yè)來說，并沒有幾家公司能做好數(shù)據(jù)安全，目前除了加密就是 DLP，全是被動(dòng)手段，距離真正的數(shù)據(jù)治理還有很大差距。前些年提出的數(shù)據(jù)生命周期，是一個(gè)比較好的概念和理論框架，雖然費(fèi)時(shí)費(fèi)力，但從長遠(yuǎn)來看，企業(yè)越大，數(shù)據(jù)治理的必要性就越強(qiáng)，不做是不可能的。那么既然早晚都要做，不如早些起步，以免海量數(shù)據(jù)堆積起來再想開始就真的難了，只是一個(gè)數(shù)據(jù)分類分級(jí)就需要大量人力投入。

       四、受需求和生物識(shí)別技術(shù)可用性以及基于硬件的強(qiáng)認(rèn)證方式驅(qū)動(dòng)，無密碼認(rèn)證開始引領(lǐng)市場(chǎng)

       為何無密碼認(rèn)證會(huì)引領(lǐng)市場(chǎng)，其實(shí)想想也是一種趨勢(shì)，就好比云一樣。舉個(gè)例子，一個(gè)人在多個(gè)平臺(tái)會(huì)擁有多個(gè)賬號(hào)，目前不可能做到一賬通，未來 10 年怕也是不可能。那么，每個(gè)平臺(tái)對(duì)應(yīng)的賬號(hào)都有密碼要求，有些還好，可能 6 位就可以，也不限制復(fù)雜度，而有些平臺(tái)安全策略較高，要求至少 8 位，且必須包含某些復(fù)雜字符，那么接下來問題來了。一個(gè)人加入擁有 10 個(gè)賬號(hào)，如果所有賬號(hào)都用一個(gè)密碼，肯定不安全;如果大多數(shù)賬戶密碼不同，那么要記住這些密碼對(duì)于一般人來說有些困難，不少人會(huì)記在本上或是存在一個(gè)文本里，那么這又存在安全隱患，被泄露只是時(shí)間問題。所以，無密碼登錄必然是未來的趨勢(shì)，通過生物識(shí)別配合隨機(jī)機(jī)制認(rèn)證(類似手機(jī)掃碼登錄，不過比這要復(fù)雜一點(diǎn))，這是相對(duì)安全而且也是用戶希望的。

       未來幾年，無密碼認(rèn)證服務(wù)可能會(huì)擁有非常廣泛的市場(chǎng)份額。

       五、安全廠商增值服務(wù)提供持續(xù)增長，以幫助客戶獲取更多短期價(jià)值并提供技能培訓(xùn)

       Gartner 最近一直強(qiáng)調(diào)客戶體驗(yàn)，如何做好大客戶服務(wù)，可見未來市場(chǎng)信息類服務(wù)會(huì)越來越多，那么哪家做得好，用戶口碑好，就是最核心的競(jìng)爭(zhēng)優(yōu)勢(shì)。拋開傳統(tǒng)服務(wù)，安全廠商開始持續(xù)開發(fā)增值服務(wù)，之前看到的 XaaS 就是其中的一個(gè)例子，不只是 IaaS、 PaaS、 SaaS，云上整體解決方案，說白了，你只要說一句我家系統(tǒng)要上云，好了，其他您甭管嘞，廠商全給你做好，從前期需求、方案、遷移、部署、上線、測(cè)試、安全、運(yùn)維，您只要掏錢跟我提需求就 OK。這是 Gartner 在今年 3 月提出一種新的云上服務(wù)方式。

       六、云計(jì)算已成為主流平臺(tái)，領(lǐng)軍企業(yè)不斷投資和完善自己的云安全能力

       云平臺(tái)稱為趨勢(shì)已成必然，由于信息系統(tǒng)量級(jí)，需要逐步遷移，但以目前全球國家大型云服務(wù)提供商的服務(wù)水平來看，暫時(shí)可能還難以提供全方位的支持。阿里云，去年多次故障，嚴(yán)重影響客戶;騰訊云，對(duì)于技術(shù)問題一刀切，客戶滿意度降低;亞馬遜云，數(shù)據(jù)泄露，外加幾年光纜被挖斷，部分地區(qū)服務(wù)中斷;以上只是運(yùn)維方面的問題，在安全方面，各家也還是采用堆疊式被動(dòng)防御，提供一堆安全產(chǎn)品，客戶自行選擇購買，雖說是云平臺(tái)，高端大氣，未來趨勢(shì)，但依舊沒有創(chuàng)新，和傳統(tǒng)網(wǎng)絡(luò)安全也沒太大本質(zhì)區(qū)別。何時(shí)能夠由被動(dòng)轉(zhuǎn)為真正的主動(dòng)式防御，真正為客戶著想，安下心來做好安全，這時(shí)才能成為成熟的云計(jì)算平臺(tái)。

       七、CARTA 安全戰(zhàn)略在傳統(tǒng)安全市場(chǎng)開始嶄露頭角

       最近兩年，自從 Gartner 提出 CARTA 這個(gè)詞以后，就一直在主推它。什么是 CARTA，這里簡(jiǎn)單說一下。

CARTA：Continuous Adaptive Risk and Trust Assessment，持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估。Gartner 推出了一個(gè)稱作 CARTA 的戰(zhàn)略方法，強(qiáng)調(diào)要持續(xù)地和自適應(yīng)地對(duì)風(fēng)險(xiǎn)和信任兩個(gè)要素進(jìn)行評(píng)估。

       ? 風(fēng)險(xiǎn)，是指判定網(wǎng)絡(luò)中安全風(fēng)險(xiǎn)，包括判定攻擊、漏洞、違規(guī)、異常等等。持續(xù)自適應(yīng)風(fēng)險(xiǎn)評(píng)估是從防護(hù)的角度看問題，力圖識(shí)別出壞人(攻擊、漏洞、威脅等)。說到風(fēng)險(xiǎn)，我認(rèn)為是信息安全中一個(gè)很關(guān)鍵的詞?，F(xiàn)在我們更多聽到的是威脅、數(shù)據(jù)，譬如以威脅為核心、數(shù)據(jù)驅(qū)動(dòng)，等等，以風(fēng)險(xiǎn)為核心感覺過時(shí)了一樣。其實(shí)，安全還真是要時(shí)時(shí)以風(fēng)險(xiǎn)為核心!數(shù)據(jù)、威脅、攻擊、漏洞、資產(chǎn)，都是風(fēng)險(xiǎn)的要素和支撐。我們檢測(cè)攻擊，包括高級(jí)攻擊，最終還是為了評(píng)估風(fēng)險(xiǎn)。

       ? 信任，是指判定身份，進(jìn)行訪問控制。持續(xù)自適應(yīng)信任評(píng)估是從訪問控制的角度看問題，力圖識(shí)別出好人(授權(quán)、認(rèn)證、訪問)。

       ? 自適應(yīng)，就是指我們?cè)谂卸L(fēng)險(xiǎn)(包括攻擊)的時(shí)候，不能僅僅依靠阻止措施，我們還要對(duì)網(wǎng)絡(luò)進(jìn)行細(xì)致地監(jiān)測(cè)與響應(yīng)，這其實(shí)就是 ASA 自適應(yīng)安全架構(gòu)的范疇。另一方面，在我們進(jìn)行身份與訪問控制的時(shí)候，也不能僅僅依靠簡(jiǎn)單的憑據(jù)，還需要根據(jù)訪問的上下文和訪問行為進(jìn)行綜合研判，動(dòng)態(tài)賦權(quán)、動(dòng)態(tài)變更權(quán)限。

       ? 持續(xù)，就是指這個(gè)風(fēng)險(xiǎn)和信任的研判過程是持續(xù)不斷，反復(fù)多次進(jìn)行的。CARTA 強(qiáng)調(diào)對(duì)風(fēng)險(xiǎn)和信任的評(píng)估分析，這個(gè)分析的過程就是一個(gè)權(quán)衡的過程。天平很形象地闡釋了 “權(quán)衡” (Balance) 一詞。權(quán)衡的時(shí)候，切忌完美 (Perfect)，不能要求零風(fēng)險(xiǎn)，不能追求 100% 信任，否則業(yè)務(wù)就沒法開展了。好的做法是不斷地在 0 和 1 之間調(diào)整。

       CARTA 能夠從運(yùn)行、構(gòu)建和規(guī)劃三個(gè)維度(反著講)來分別分析客戶的業(yè)務(wù)系統(tǒng)如何運(yùn)用 CARTA 戰(zhàn)略方法。這里最厲害之處是 Gartner 將幾乎所有他們以往定義的技術(shù)細(xì)分領(lǐng)域都囊括其中，而且十分自洽。

       運(yùn)行，自適應(yīng)訪問和自適應(yīng)保護(hù)訪問，就是從信任的角度去進(jìn)行訪問控制;保護(hù)，就是從風(fēng)險(xiǎn)的角度去進(jìn)行防御。

       自適應(yīng)保護(hù)其實(shí)就對(duì)應(yīng)了 Gartner 的自適應(yīng)安全架構(gòu)。

       在談及保護(hù)的時(shí)候，Gartner 提到了一個(gè)響亮的觀點(diǎn)：利用縱深分析(Analytics indepth)和自動(dòng)化來進(jìn)行保護(hù)。

       ? 縱深分析：這是一個(gè)從縱深防御演進(jìn)而來的術(shù)語，強(qiáng)調(diào)了隨著安全問題逐漸變成大數(shù)據(jù)問題， 而大數(shù)據(jù)問題正在轉(zhuǎn)變成       大分析問題，進(jìn)而縱深防御也逐漸變成了縱深分析?？v深分析就是要對(duì)每個(gè)縱深所產(chǎn)生的大量數(shù)據(jù)進(jìn)行分析研判，動(dòng)態(tài)地去進(jìn)行風(fēng)險(xiǎn)與信任評(píng)估，同時(shí)還要將不同縱深的數(shù)據(jù)進(jìn)行融合分析。而所有這些分析，都是為了更好的檢測(cè)，而檢測(cè)是屬于防護(hù)的一環(huán)(跟阻斷、響應(yīng)一起)。

       ? 自動(dòng)化：在安全保護(hù)中，自動(dòng)化的本質(zhì)是為了為快速的響應(yīng)。

總結(jié)

       最后，以安全基礎(chǔ)工作為結(jié)尾，在 Gartner2018 十大安全項(xiàng)目就提出了，企業(yè)如果想搞這些比較新的項(xiàng)目之前，要先看看自己的基礎(chǔ)安全做得如何，其中包括：

       ? 已經(jīng)有了較為先進(jìn)的 EPP (Endpoint Protection Platform，端點(diǎn)保護(hù)平臺(tái))，具備諸如無文件惡意代碼檢測(cè)、內(nèi)存注入保護(hù)和機(jī)器學(xué)習(xí)的功能;

       ? 已經(jīng)做好了基本的 Windows 賬戶管理工作;

       ? 已經(jīng)有了 IAM (Identity and Access Management 的縮寫)，即 “身份識(shí)別與訪問管理”，具有單點(diǎn)登錄、強(qiáng)大的認(rèn)證管理、基于策略的集中式授權(quán)和審計(jì)、動(dòng)態(tài)授權(quán)、企業(yè)可管理性等功能。

       ? 有了常規(guī)化的補(bǔ)丁管理;

       ? 已經(jīng)有了標(biāo)準(zhǔn)化的服務(wù)器/云工作負(fù)載保護(hù)平臺(tái)代理;

       ? 具備較為強(qiáng)健的反垃圾郵件能力;

       ? 部署了某種形式的 SIEM 或者日志管理解決方案，具有基本的檢測(cè)/響應(yīng)能力;

       ? 建立了備份/恢復(fù)機(jī)制;

       ? 有基本的安全意識(shí)培訓(xùn);

       ? 具備基本的互聯(lián)網(wǎng)出口邊界安全防護(hù)能力，包括 URL 過濾能力;

       各位，這些工作是否都已經(jīng)做到做好了呢?