一、SRM管理者持續(xù)發(fā)布以業(yè)務(wù)成果為導(dǎo)向的實用的風(fēng)險偏好聲明，有效提高了利益相關(guān)方的參與度

       為應(yīng)對當(dāng)前的安全形勢，風(fēng)險管理逐漸提上日程，現(xiàn)在已經(jīng)不僅僅是管理好漏洞那么簡單了，還包括戰(zhàn)略、市場、供應(yīng)商、內(nèi)控、財務(wù)、資源優(yōu)化等多方面的風(fēng)險(作為一個合規(guī)的 CIO，這些應(yīng)該都有一定的了解。記得 Gartner 的一篇文章提到過 CIO 應(yīng)該盡可能的參與到 CEO 和董事會的會議中去，能夠向 CEO 和高層建議 IT 方面的一些有價值和創(chuàng)造性的建議，而不是等著上邊來分派工作，每天只是搞搞 IT 和安全。)一些大型甲方已經(jīng)開始建立自己的風(fēng)控體系，尤其是電商公司，目前面對比較頭疼的就是 DDoS 攻擊、APT、0day、薅羊毛以及社工。如何應(yīng)對這些風(fēng)險將成為未來幾年企業(yè)安全的重中之重，而且前幾天的《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》也提到了要做好風(fēng)險管理。

       這里所提到的風(fēng)險偏好，類似金融行業(yè)投資者的投資偏好，主要反映企業(yè)對于安全的一個導(dǎo)向和重要指導(dǎo)方針，如何應(yīng)對安全、預(yù)算是否充足、是否愿意向安全投資、能夠或愿意接受的風(fēng)險水平是怎樣的?首先做好這些基礎(chǔ)工作，才能開展后續(xù)各項部署、計劃以及實施和監(jiān)督改進。最后，也是最為關(guān)鍵的一點，不管你擁有多么先進的技術(shù)、多么高端的人才或是多么強大的合作伙伴，如果利益相關(guān)方不關(guān)心安全，那么其實各位也不要太費心去做安全，其本身就是一種自上而下的治理方法，沒有上層支持和推動，安全工作不會創(chuàng)造任何價值。

       二、對威脅檢測與響應(yīng)功能的關(guān)注使得SOC部署和優(yōu)化的熱度再次上升

       SOC 吹了有好多年，目前真正可以拿來作為最佳實踐的案例卻不多，介于目前攻防回合制過家家的打法(你黑我一下，我防你一手，我再找洞，你再修補)，預(yù)計這種僵持的局面可能會持續(xù)很久，何時能夠打破僵局，出現(xiàn)一種新的安全防護手段將是關(guān)鍵。

       既然還身處這樣的環(huán)境，那么就事論事，必須做好當(dāng)前的安全工作。從市場預(yù)測來看，SOC 已經(jīng)不算新鮮，市場真正關(guān)注的是威脅檢測與響應(yīng)，非傳統(tǒng)的態(tài)勢感知，哪些都是吹出來的，目前還沒有真正可稱為態(tài)勢感知的系統(tǒng)。結(jié)合如今 0day 黑產(chǎn)地下亂竄，APT 和釣魚放長線，社工和羊毛黨隨處可見的時代，檢測和響應(yīng)的及時性和準(zhǔn)確性是關(guān)鍵，能夠第一時間組織損失，這是企業(yè)最為關(guān)心的事。

       三、領(lǐng)軍企業(yè)利用數(shù)據(jù)安全治理框架來確定數(shù)據(jù)安全投資的優(yōu)先級

       隨著《GDPR》出臺，一年來效果顯著，確實起到了一定的約束效力。但對于企業(yè)來說，并沒有幾家公司能做好數(shù)據(jù)安全，目前除了加密就是 DLP，全是被動手段，距離真正的數(shù)據(jù)治理還有很大差距。前些年提出的數(shù)據(jù)生命周期，是一個比較好的概念和理論框架，雖然費時費力，但從長遠來看，企業(yè)越大，數(shù)據(jù)治理的必要性就越強，不做是不可能的。那么既然早晚都要做，不如早些起步，以免海量數(shù)據(jù)堆積起來再想開始就真的難了，只是一個數(shù)據(jù)分類分級就需要大量人力投入。

       四、受需求和生物識別技術(shù)可用性以及基于硬件的強認(rèn)證方式驅(qū)動，無密碼認(rèn)證開始引領(lǐng)市場

       為何無密碼認(rèn)證會引領(lǐng)市場，其實想想也是一種趨勢，就好比云一樣。舉個例子，一個人在多個平臺會擁有多個賬號，目前不可能做到一賬通，未來 10 年怕也是不可能。那么，每個平臺對應(yīng)的賬號都有密碼要求，有些還好，可能 6 位就可以，也不限制復(fù)雜度，而有些平臺安全策略較高，要求至少 8 位，且必須包含某些復(fù)雜字符，那么接下來問題來了。一個人加入擁有 10 個賬號，如果所有賬號都用一個密碼，肯定不安全;如果大多數(shù)賬戶密碼不同，那么要記住這些密碼對于一般人來說有些困難，不少人會記在本上或是存在一個文本里，那么這又存在安全隱患，被泄露只是時間問題。所以，無密碼登錄必然是未來的趨勢，通過生物識別配合隨機機制認(rèn)證(類似手機掃碼登錄，不過比這要復(fù)雜一點)，這是相對安全而且也是用戶希望的。

       未來幾年，無密碼認(rèn)證服務(wù)可能會擁有非常廣泛的市場份額。

       五、安全廠商增值服務(wù)提供持續(xù)增長，以幫助客戶獲取更多短期價值并提供技能培訓(xùn)

       Gartner 最近一直強調(diào)客戶體驗，如何做好大客戶服務(wù)，可見未來市場信息類服務(wù)會越來越多，那么哪家做得好，用戶口碑好，就是最核心的競爭優(yōu)勢。拋開傳統(tǒng)服務(wù)，安全廠商開始持續(xù)開發(fā)增值服務(wù)，之前看到的 XaaS 就是其中的一個例子，不只是 IaaS、 PaaS、 SaaS，云上整體解決方案，說白了，你只要說一句我家系統(tǒng)要上云，好了，其他您甭管嘞，廠商全給你做好，從前期需求、方案、遷移、部署、上線、測試、安全、運維，您只要掏錢跟我提需求就 OK。這是 Gartner 在今年 3 月提出一種新的云上服務(wù)方式。

       六、云計算已成為主流平臺，領(lǐng)軍企業(yè)不斷投資和完善自己的云安全能力

       云平臺稱為趨勢已成必然，由于信息系統(tǒng)量級，需要逐步遷移，但以目前全球國家大型云服務(wù)提供商的服務(wù)水平來看，暫時可能還難以提供全方位的支持。阿里云，去年多次故障，嚴(yán)重影響客戶;騰訊云，對于技術(shù)問題一刀切，客戶滿意度降低;亞馬遜云，數(shù)據(jù)泄露，外加幾年光纜被挖斷，部分地區(qū)服務(wù)中斷;以上只是運維方面的問題，在安全方面，各家也還是采用堆疊式被動防御，提供一堆安全產(chǎn)品，客戶自行選擇購買，雖說是云平臺，高端大氣，未來趨勢，但依舊沒有創(chuàng)新，和傳統(tǒng)網(wǎng)絡(luò)安全也沒太大本質(zhì)區(qū)別。何時能夠由被動轉(zhuǎn)為真正的主動式防御，真正為客戶著想，安下心來做好安全，這時才能成為成熟的云計算平臺。

       七、CARTA 安全戰(zhàn)略在傳統(tǒng)安全市場開始嶄露頭角

       最近兩年，自從 Gartner 提出 CARTA 這個詞以后，就一直在主推它。什么是 CARTA，這里簡單說一下。

CARTA：Continuous Adaptive Risk and Trust Assessment，持續(xù)自適應(yīng)風(fēng)險與信任評估。Gartner 推出了一個稱作 CARTA 的戰(zhàn)略方法，強調(diào)要持續(xù)地和自適應(yīng)地對風(fēng)險和信任兩個要素進行評估。

       ? 風(fēng)險，是指判定網(wǎng)絡(luò)中安全風(fēng)險，包括判定攻擊、漏洞、違規(guī)、異常等等。持續(xù)自適應(yīng)風(fēng)險評估是從防護的角度看問題，力圖識別出壞人(攻擊、漏洞、威脅等)。說到風(fēng)險，我認(rèn)為是信息安全中一個很關(guān)鍵的詞?，F(xiàn)在我們更多聽到的是威脅、數(shù)據(jù)，譬如以威脅為核心、數(shù)據(jù)驅(qū)動，等等，以風(fēng)險為核心感覺過時了一樣。其實，安全還真是要時時以風(fēng)險為核心!數(shù)據(jù)、威脅、攻擊、漏洞、資產(chǎn)，都是風(fēng)險的要素和支撐。我們檢測攻擊，包括高級攻擊，最終還是為了評估風(fēng)險。

       ? 信任，是指判定身份，進行訪問控制。持續(xù)自適應(yīng)信任評估是從訪問控制的角度看問題，力圖識別出好人(授權(quán)、認(rèn)證、訪問)。

       ? 自適應(yīng)，就是指我們在判定風(fēng)險(包括攻擊)的時候，不能僅僅依靠阻止措施，我們還要對網(wǎng)絡(luò)進行細致地監(jiān)測與響應(yīng)，這其實就是 ASA 自適應(yīng)安全架構(gòu)的范疇。另一方面，在我們進行身份與訪問控制的時候，也不能僅僅依靠簡單的憑據(jù)，還需要根據(jù)訪問的上下文和訪問行為進行綜合研判，動態(tài)賦權(quán)、動態(tài)變更權(quán)限。

       ? 持續(xù)，就是指這個風(fēng)險和信任的研判過程是持續(xù)不斷，反復(fù)多次進行的。CARTA 強調(diào)對風(fēng)險和信任的評估分析，這個分析的過程就是一個權(quán)衡的過程。天平很形象地闡釋了 “權(quán)衡” (Balance) 一詞。權(quán)衡的時候，切忌完美 (Perfect)，不能要求零風(fēng)險，不能追求 100% 信任，否則業(yè)務(wù)就沒法開展了。好的做法是不斷地在 0 和 1 之間調(diào)整。

       CARTA 能夠從運行、構(gòu)建和規(guī)劃三個維度(反著講)來分別分析客戶的業(yè)務(wù)系統(tǒng)如何運用 CARTA 戰(zhàn)略方法。這里最厲害之處是 Gartner 將幾乎所有他們以往定義的技術(shù)細分領(lǐng)域都囊括其中，而且十分自洽。

       運行，自適應(yīng)訪問和自適應(yīng)保護訪問，就是從信任的角度去進行訪問控制;保護，就是從風(fēng)險的角度去進行防御。

       自適應(yīng)保護其實就對應(yīng)了 Gartner 的自適應(yīng)安全架構(gòu)。

       在談及保護的時候，Gartner 提到了一個響亮的觀點：利用縱深分析(Analytics indepth)和自動化來進行保護。

       ? 縱深分析：這是一個從縱深防御演進而來的術(shù)語，強調(diào)了隨著安全問題逐漸變成大數(shù)據(jù)問題， 而大數(shù)據(jù)問題正在轉(zhuǎn)變成       大分析問題，進而縱深防御也逐漸變成了縱深分析?？v深分析就是要對每個縱深所產(chǎn)生的大量數(shù)據(jù)進行分析研判，動態(tài)地去進行風(fēng)險與信任評估，同時還要將不同縱深的數(shù)據(jù)進行融合分析。而所有這些分析，都是為了更好的檢測，而檢測是屬于防護的一環(huán)(跟阻斷、響應(yīng)一起)。

       ? 自動化：在安全保護中，自動化的本質(zhì)是為了為快速的響應(yīng)。

總結(jié)

       最后，以安全基礎(chǔ)工作為結(jié)尾，在 Gartner2018 十大安全項目就提出了，企業(yè)如果想搞這些比較新的項目之前，要先看看自己的基礎(chǔ)安全做得如何，其中包括：

       ? 已經(jīng)有了較為先進的 EPP (Endpoint Protection Platform，端點保護平臺)，具備諸如無文件惡意代碼檢測、內(nèi)存注入保護和機器學(xué)習(xí)的功能;

       ? 已經(jīng)做好了基本的 Windows 賬戶管理工作;

       ? 已經(jīng)有了 IAM (Identity and Access Management 的縮寫)，即 “身份識別與訪問管理”，具有單點登錄、強大的認(rèn)證管理、基于策略的集中式授權(quán)和審計、動態(tài)授權(quán)、企業(yè)可管理性等功能。

       ? 有了常規(guī)化的補丁管理;

       ? 已經(jīng)有了標(biāo)準(zhǔn)化的服務(wù)器/云工作負載保護平臺代理;

       ? 具備較為強健的反垃圾郵件能力;

       ? 部署了某種形式的 SIEM 或者日志管理解決方案，具有基本的檢測/響應(yīng)能力;

       ? 建立了備份/恢復(fù)機制;

       ? 有基本的安全意識培訓(xùn);

       ? 具備基本的互聯(lián)網(wǎng)出口邊界安全防護能力，包括 URL 過濾能力;

       各位，這些工作是否都已經(jīng)做到做好了呢?