本帖最后由 laoyu 于 2020-9-15 14:31 编辑
我们简要过一下今年的十大安全项目,并与以往进行一下对比。
1.Securing Your Remote Workforce(远程办公安全)疫情让远程办公变成常态,通过ZTNA来保障远程办公安全。Gartner认为采用ZTNA会驱动VPN替代。
很显然,突如其来的疫情使得员工远程办公迅速扩张,如何保障员工安全地,并且尽可能体验友好地访问企业网络和应用成为了十分急迫的议题。 中型企业的CIO们必须制定一个全面的远程办公策略,并且和业务部门进行良好的沟通。多因素认证此时不再是可选项,而是必选项。Gartner建议中型企业同时考虑CASB和SWG(安全web网关)技术来降低对VPN的依赖,减轻VPN的负担。
2.Risk-Based Vulnerability Management(基于风险的漏洞管理)去年叫符合CARTA方法论的脆弱性管理,今年改叫基于风险的脆弱性管理了。Gartner认为补丁重要性是不同的,应该采用基于风险的方法来管理补丁程序,重点关注具有较高风险的系统和漏洞。
3.Platform Approach to Detection and Response(检测与响应的平台方法)去年叫Detection and response,今年多了个平台化。把众多安全设备检测数据集中包括EDR、SWG、CASB、IAM、DLP、NGFW等。然后做数据规范化后,形成数据湖,分析数据相关性,最后通过事件响应、自动化、工作流和APIs实现响应。总结一下就是拓展检测数据源,提升数据分析能力,最后落实到自动化响应上,这个貌似没什么新意。
4.Cloud Security Posture Management (云安全配置管理)CSPM是跨IaaS和PaaS来工作的,是对基础设施安全配置进行分析与管理,这个不是新概念。
5.Simplify Cloud Access Controls(简化云访问控制)企业希望能够在多个云服务中实现中心化策略和治理对于用户、设备、用户活动和敏感数据的可见性。
6.DMARC(基于域的消息认证报告和一致性)这个没听明白,临时查的wikipedia,DMARC (Domain-based Message Authentication, Reporting and Conformance)。DMARC是一种使电子邮件发送者和接收者更轻松的方法,确定给定消息是否合法地来自发送者。
DMARC是Domain-Based Message Authentication, Reporting and Conformanc的简称。DMARC是一项2012年就诞生的电子邮件安全协议,大家可以自行百度、知乎,查看详情。这里引用网易企业邮箱中的帮助信息简要介绍一下:DMARC是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。 下图是笔者从网上搜到的一个示意图,供读者参考: Gartner建议中型企业部署这个免费的技术,缓解仿冒型钓鱼邮件的攻击。
7.Passwordless Authentication(无密码认证)完全消除密码目前看来还不太可能,但减少对密码的依赖已经是可行的,可以增加信任并改善用户体验。
注意,将password翻译为口令,而不是密码!二者不是一回事儿。 用户对各种系统的口令管理一直是个令人头痛的问题,大家通常都不乐意定期修改口令。对于中型企业而言,在网络环境中实现无口令认证机制无疑会在提升企业安全的同时极大地提升用户体验。 Gartner提醒大家,受限于企业现有系统的复杂性,要实现通用简洁的无口令认证机制并非易事,IAM项目团队需要一套跨多种用例的整合策略。 首先,当前的无口令认证技术差异巨大,有的是在用户交互层消除了口令,但底层本质还是基于口令认证的;还有的则是在底层上就消除了口令。Gartner推荐中型企业优先评估微软的Hello解决方案,以及手机即令牌的多因素认证解决方案。 其次,寻找一个适用于不用应用场景的、兼容现有网络和系统架构的整合性无口令认证解决方案。在无法实现完全无口令认证(如某些登录过程)的时候,可以退而采用“轻口令”方式。
8.Data Classification and Protection(数据分级与保护)不同用户分类分级的策略差异比较大,需要组织确定后通过技术来实现。这个国内情况貌似也差不多,分类分级打标签就是一大难题。
9.Workforce Competencies Assessment(员工能力评估)数字化商业要求我们有合适的人在正确的岗位上扮演正确的角色,拥有正确的技能和能力。看来安全人才缺口是全球性问题。
10.Automating Security Risk Assessments(自动化安全风险评估)只有58%的安全负责人对重要的新项目进行风险评估,自动化风险评估会简化了IT交付。
安全风险评估(Security Risk Assessment)是Gartner十分看重的一项工作,写过大量的报告和指南,对于中型企业而言,亦是如此。安全风险评估这个概念已经有了二十年的历史了,十分古老,意义不言自明,是安全领域的一个理论基石,但更多是停留在理念、标准、规范层面,不论是ISO27005,还是NIST SP800-30都有专门的论述。很早以前,人们(譬如笔者)就在试图将这个工作形式化,借助系统来自动运行,至今仍然在为之努力。近些年来,由于人们更多将目光投射到面向对抗的安全领域,对于安全风险评估有所探望。事实上,Gartner一直在关注这个领域,并且是作为安全的五大分支之一在持续跟踪研究。 回到这个项目本身,Gartner建议中型企业CIO们,为了降低这项工作的操作复杂度,提升这项工作的成效(量化效果),引入自动化技术。 安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来,以识别、度量和处置IT风险。自动化风险评估的一个重要价值就在于采用一致和一贯的标准(譬如风险计算公式)来估算风险,使得风险度量的结果可比较,改进情况真正可度量。 Gartner表示,向安全风险评估项目注入某种程度的自动化的目的是确保随着时间的推移,对评估结果保持一致性和信心。 更多关于安全风评估的描述可以参考Gartner的报告——《成功安全风险评估的最佳实践》,该建议的大部分内容基本源于此报告。
摘自:
微信公众号:数说安全
| 
发表于 2020-9-15 14:19:32
