安全和風險管理專家經常會提出這些問題，但真正的問題應該是在不斷變化的安全形勢下，哪些項目將帶動最大業(yè)務價值并降低企業(yè)機構的風險。

　　Gartner高級研究總監(jiān)Brian Reed在2020年Gartner安全和風險管理峰會線上會議中提到：“我們可能把太多時間用在了過度分析我們所作的安全選擇上，拼命去實現根本不存在的完美防護。我們不能把目光局限于基本的保護決策上，必須通過創(chuàng)新的檢測和應對方式以及最終從安全事件中恢復來提高企業(yè)機構的韌性。”

　　其關鍵在于確定業(yè)務支持的優(yōu)先級別并降低風險，同時將這些優(yōu)先級別有效地傳達到業(yè)務。

　　基于Gartner的預測及根據新冠疫情的影響所作出的調整，今年的十大安全項目中有八個是重點關注風險管理和理解流程細分的新項目。這些項目（未按重要性順序排列）均可單獨執(zhí)行。

　　關注業(yè)務需求并了解用戶和團隊如何訪問數據和應用。自遠程工作需求開始出現以來已經過去了幾個月，現在應該通過需求評估和變更回顧來確定訪問級別是否合適以及是否有安全措施阻礙工作。

　　不要再想方設法地到處打補丁了。專注于會被真正利用的漏洞。不要只想著對威脅進行大量評估，應運用威脅情報、攻擊者活動和內部資產關鍵程度來更好地了解企業(yè)機構所面臨的真正風險。

　　XDR是一個統(tǒng)一安全和事件響應平臺，它可以采集并關聯來自多個專用組件的數據。它在部署時便已完成平臺層面的集成，而不是在之后添加，因此可以將多個安全產品整合為一個產品，從而幫助優(yōu)化整體安全效果。企業(yè)機構應考慮使用這項技術來簡化和提煉安全措施。

　　企業(yè)機構需要保證跨IaaS和PaaS的通用控制并支持自動化評估和補救。云應用具有高度的動態(tài)性并且需要實現自動化的DevSecOps級安全。如果無法保證跨所有云安全方法的策略統(tǒng)一性，那么就很難保障公有云的安全。

　　云訪問控制通常通過CASB實現。它們通過一個具有策略執(zhí)行和主動攔截功能的內網代理提供實時執(zhí)行能力。CASB還帶來了靈活性，比如從監(jiān)控模式入手，更好地確保流量的保真度并了解安全訪問。

　　企業(yè)機構將電子郵件作為唯一的驗證來源，而用戶很難確定從假帳戶發(fā)出的真實消息。基于域的消息認證、報告和一致性（DMARC）是一項電子郵件身份驗證策略。DMARC不是一套完整的電子郵件安全解決方案，而是整體安全策略的一部分。但它可以針對發(fā)件人的域增加一個信任和驗證層。DMARC有助于防止網域變造，但無法解決所有電子郵件安全問題。

　　員工可能會草率地將個人電子郵箱的密碼用作工作計算機的密碼，而這可能會引起嚴重的安全問題。無密碼身份驗證有多種不同的有效驗證方式，能提供更好的安全解決方案。您應該將目標定為增加信任度和改善用戶體驗。

　　每個數據都是不同的。通用型安全策略所創(chuàng)建的安全區(qū)域范圍過大，而其他安全策略則過小，會增加企業(yè)機構的風險。在開始使用安全技術之前，應先從策略和定義開始，確保流程的正確。

　　在合適的崗位安排具有合適技能的合適人員。將艱深的技術類技能與領導才能這樣的軟實力相結合至關重要，同時也充滿挑戰(zhàn)。您不可能找到完美的人選，但您可以為每個項目確定五到六項必備能力。您可以通過多種方式評估能力，包括網絡靶場和網絡模擬以及軟技能評估。

　　這種方法可以幫助安全團隊了解與安全運營、新項目或項目級風險相關的風險。風險評估往往不是被完全跳過，就是在執(zhí)行時受到限制。此類評估將限制自動化所帶來的風險并顯示存在風險缺口的位置。

　　Gartner全新中文官網上線！

　　www.gartner.com/cn

　　即刻訪問新網站！

　　長按識別二維碼