2022年Gartner安全与风险管理峰会热点汇总 - 网安 - 专业的网络安全产业、社区、知识平台

2022年Gartner安全与风险管理峰会伦敦站于9月14日结束。该活动讨论了许多企业界非常关注的网络安全和风险管理热点议题，例如：

解决关键的战略要务，例如制定敏捷的安全战略
培养以人为本的安全意识文化
风险责任权力下放
建立一个新的简化的网络安全网格架构

随着全球企业加速向数字化和敏捷运营转型，企业的风险状况正在发生巨变。Gartner此次会议重点讨论了企业必须在2023年之前建立的新安全环境，这包括重新审视和思考当前的安全和风险评估思维，简化程序和组织层面的安全保障，并建立安全意识文化。

以下是为期三天的安全会议的主要亮点。

十个核心风险管理实践

安全和风险管理(SRM)高管正在努力推动其网络和IT风险管理流程超越风险评估。Gartner副总裁分析师Jie Zhang认为SRM高管可以使用以下十个核心风险管理实践来确保其公司IT风险管理目标的成功：

确定控制要求
进行业务影响分析
定义风险参数和风险管理策略
进行风险评估和评估控制
在风险登记册中记录风险并持续沟通
在项目生命周期中嵌入风险评估、安全测试和治理
投资于减少技术债务
确定范围
监控损失风险和其他指标
嵌入组织范围内的风险处理态度

云安全的关键战略和要点

云安全是一项关键责任。然而，公共云服务提供商自身导致了许多独特的威胁。在本次会议上，Gartner高级总监分析师Charlie Winckless强调了解决基础设施即服务(IaaS)和软件即服务(SaaS)的主要安全难题。Gartner提出了企业云安全战略的四个关键步骤：

云安全的关键要点

在采用云计算的早期阶段，一些企业开始在云中采用传统的安全技术。这种策略可能在短期内有效，但是当应用程序和DevOps团队采用云原生服务时，传统的安全技术可能无法服务于这些用例。
资源保护、云配置、工件扫描和DevSecOps支持都必须在云原生安全中得到解决。
云原生企业及其安全投资可以提供对未来安全状况的洞察。
使安全性与底层架构和业务的重要性保持一致，没有万灵药。
由于云安全功能可能会更新且适应性更强，因此请在适当的时候将它们整合到您的本地系统中。
更多地考虑云安全愿景，未来的技术和趋势可能包含：云提供商成为安全提供商、安全或策略即代码、数据和云主权、机密计算等。

如何有效地准备和应对不断

变化的威胁环境

攻击者正在根据企业的发展动态调整他们的方法和计划，威胁环境也在演变。Gartner副总裁分析师Jeremy D'Hoinne为安全和风险管理高管提供了重要的建议，以应对顶级、高级和新兴威胁。Gartner建议安全和风险管理人员关注三类风险：公认的常见主要威胁、高动量威胁以及新出现的、独特的和不可预测的危险。

主要威胁：公司敏锐地意识到由于潜在发展而年复一年仍然存在的威胁。
高动量威胁：正在上升但其意识还不能与顶级威胁相提并论的威胁。
新兴威胁：较罕见、不太明显但严重到足以引起安全和风险管理主管关注的威胁。

关键要点

在与主流威胁作斗争时，请密切关注那些导致脆弱面扩大的微观趋势。通过汇报这些主要威胁的微观趋势，安全团队可以争取到管理层对安全控制升级的持续投资和支持。
在安全运营部门内建立系统，以分析新兴和高动量威胁的影响。从API、供应链和网络物理系统(CPS)风险开始，重点关注风险意识、暴露管理、状态验证和基本安全卫生。
对于新兴和未来的威胁，专注于网络弹性并将安全与组织领导者（的战略）联系起来，以预见由于业务转型而导致的攻击面的增长。

2022年安全运营的巨变

安全运营的规划和输出方式正在发生巨大变化。Gartner副总裁分析师Pete Shoard在网络研讨会期间列举了2022年影响企业安全运营变革的关键技术、程序和服务。

企业制订2022年安全运营战略时需要重点关注以下三个方面：

如何优化威胁情报和威胁搜寻的价值。
能见度提升的重点是如何最大限度地减少暴露。
自动化和人工智能对您的安全运营是否有现实意义。

关键要点

评估威胁情报听起来很困难，事实往往也是如此。但是，您可以给情报源制订评估指标，以评估它们产生了多少可操作的指示，并衡量其是否有助于减少误报。
初期可以考虑用威胁情报帮助威胁狩猎，或者填补体系空白。将威胁狩猎正式化并使之成为SecOps计划的基本功能，在日程中安排时间来完成它。
攻击面、漏洞和验证是暴露控制的三大支柱。
多种暴露管理技术可用于增强检测分析的广度、自动化和准确性。
在投资自动化或人工智能解决方案之前，必须首先设计一个流程并配合一些资源来监控成效。

2022-2023年隐私前景预测

隐私显著影响着企业的数字化转型计划，并且是企业开发新客户参与模式和团队成员关系的核心。在会议上，Gartner副总裁分析师Nader Henein回顾了2022年及以后隐私领域的法律和技术演变，提出隐私治理的三个起点：

隐私体验：隐私体验包含通知与政策、cookie管理、CPM、对象权益管理等。
隐私管理：隐私管理包括隐私映射、ROPAs、PIA自动化；关注中央数据库合规问题的可以此为起点。
隐私控制：隐私控制包括发现、分类、PEC工具；试图控制流程活动的可以此为起点。

关键要点

法律隐私环境正变得越来越复杂，面对这样的限制，企业不能仅仅使用清单来追求合规性，必须适应并变得更有效率。
隐私部门的平均预算为220万美元，不太可能独占太多预算。因此，隐私主管必须找出合理路径并寻求其他业务部门的帮助。
锁定能够帮助推进隐私计划的关键人物，然后确定这些利益相关者在未来两到三年内的重要目标，看看您是否可以与之匹配的一项或多项（隐私）功能。
隐私控制是以数据为中心的工具，可以在数据级别获得洞察力并实现管理，例如自动数据查找和映射工具，类似于计时器或健身追踪器。
它们通常被称为隐私平台或隐私管理系统，是合规相关文书工作的主要存储库。这些技术有助于评估风险、处理运营文档以及创建隐私计划报告。
隐私用户体验包括显示和管理通知和政策声明、记录消费者同意和偏好以及处理主体权利请求的功能。