Gartner發佈2024年網路安全重要趨勢

Gartner公司於近日發佈2024年網路安全重要趨勢。根據Gartner公司的研究，推動2024年主要網路安全趨勢的因素包括生成式人工智慧（生成式AI）、持續威脅暴露、協力廠商風險、隱私驅動的應用和資料解耦和網路安全技能重塑等。
 
Gartner研究總監陳延全表示：「企業安全職能在技術、組織和人員方面面臨徹底變革。安全與風險管理領導者必須進行完善的準備工作並採取務實的態度，以應對持續演進的技術革新與監管環境，實施高效的網路安全專案。」
 
為了應對這些因素的綜合影響，2024年安全與風險管理領導者需要在其安全計畫中採取一系列實踐方法、技術功能和結構改革，以此提高企業機構的韌性和網路安全績效。
 
以下重要趨勢將對這些領域產生廣泛影響。
 
趨勢一：持續威脅暴露面管理專案展現強勁勢頭
Gartner預測，到2026年，透過持續威脅暴露面管理（CTEM）專案確定安全投資優先順序的企業機構，其安全性漏洞將減少三分之二。
 
陳延全表示：「近年來，企業機構的攻擊面急劇擴大，給企業機構帶來了潛在的安全盲點，以及大量需要解決的潛在威脅暴露面。作為應對，安全與風險管理領導者開展了試點專案，引入相關流程來確定威脅暴露面的數量和重要性，並驗證持續威脅暴露面管理專案的效果。」
 
趨勢二：改善身分與存取管理實踐，充分發揮其在提升網路安全成果方面的作用
在身分優先的安全方法中，利用身分管理與存取管理（IAM）取代網路安全暨其他傳統的安全控制措施成為了安全工作的重點。採取身分優先安全性原則的企業機構，必須加強對基本的IAM規範以及IAM系統強化的關注，以提升韌性。
 
趨勢三：以韌性為導向、資源效率更高的協力廠商網路安全風險管理
隨著協力廠商遭遇網路安全事件變得不可避免，安全與風險管理領導者不得不將注意力從涉及大量前期投入的盡職調查轉向了以韌性為導向的安全投資。勇於進取的安全與風險管理領導者已將旨在提升韌性的工作活動列為優先事項，例如實施補償性控制措施和加強事件回應規劃等。同時，他們正在為業務合作夥伴提供有針對性的支持，以幫助其優化與協力廠商的合作，並且影響與安全控制相關的決策。
 
趨勢四：隱私驅動的應用和資料解耦，在碎片化的世界中優化運營
Gartner預測，到2025年，10%的全球企業將擁有一個以上受特定資料主權戰略約束的業務單位，從而使創造相同業務價值的成本增加至少一倍。
 
陳延全表示：「基於國家主義的隱私以及資料保護和當地語系化要求不斷增多，加劇了企業應用架構和資料當地語系化實踐的碎片化。數十年來一直依賴單租戶應用的跨國企業，面臨著日益增加的合規要求和持續攀升的業務中斷風險。作為應對，具有前瞻性的企業機構正在規劃和實施不同層面的應用和資料解耦戰略。」
 
趨勢五：GenAI引發短期疑慮，但同時也點燃了長期希望
生成式人工智慧（GenAI）引入了新的攻擊面。為提供相關防護，企業機構必須對應用和資料安全實踐以及使用者監控進行變革。到2025年，GenAI的採用將導致企業機構所需的網路安全資源激增，從而使應用和資料安全支出增加15%以上。
 
此外，鑒於ChatGPT等大語言模型應用的興起只是GenAI顛覆浪潮的開端，安全與風險管理領導者還需要就該技術的快速演進做好應對準備。
 
趨勢六：安全行為與文化專案在降低人為網路安全風險方面的作用受到熱切關注
客戶和供應商已經認識到，當前只關注員工網路安全意識提升的普遍做法，對於減少員工行為導致的安全事件效果甚微。
 
陳延全表示：「安全行為與文化專案（SBCP）是一種企業層面的方法，旨在最大程度減少與員工行為相關的網路安全事件，無論這些事件是出於一時疏忽還是有意為之。SBCP的主要目標是改變員工行為。到2027年，50%的⼤型企業資安長（CISO）將採用以人為本的安全設計實踐，以最⼤限度減少⽹絡安全引發的員工抵觸並提升安全控制的採用率。」
 
趨勢七：網路安全成果驅動型指標助力安全領導者有效傳達網路安全價值
網路安全成果驅動型指標（ODM）是包含特殊屬性的安全運營指標，可以幫助利益相關者在安全投資與其所能實現的保護等級之間建立直接關聯。
 
各行業企業機構都在網路安全人員、流程和技術方面進行了大量投資，然而網路安全事件的發生頻率和負面影響卻在持續攀升。這削弱了董事會和高管對於網路安全戰略的信心。企業機構正在尋求一種衡量網路安全價值的方法，既能夠引起高管的共鳴，還可以支持務實、符合業務需求的投資決策。ODM作為最具前景的候選方案之一，受到了越來越多企業機構的青睞。
 
趨勢八：持續演變的網路安全運營模式
隨著業務線繼續取代IT職能成為技術獲取、構建和交付的主體，傳統的網路安全運營模式逐漸被打破。安全與風險管理領導者正在對網路安全運營模式進行調整，以滿足業務部門在自主性、創新和敏捷性方面的需求。具體而言，安全工作的決策權日益分散化；安全性原則的細節逐漸交由邊緣側的業務決策者負責；針對部分治理工作建立了集中和正式的治理機制，以更好地支持業務部門的風險負責人；安全與風險管理領導者的角色也正在從控制措施管理者向價值推動者演變。
 
趨勢九：重塑網路安全技能，助力企業機構應對未來風險
到2026年，50%的大型企業將使用敏捷學習作為主要的技能提升/重塑方法。
 
陳延全表示：「安全與風險管理領導者面臨著一系列重要趨勢，而這些趨勢都對網路安全團隊的技能需求產生了影響。並且，新技能需求的增長速度將會超過新角色、新資格認證、新職位描述和新職位名稱的創建速度。換言之，依靠學習型和發展型解決方案、招聘平臺以及人力資源實踐，將無法及時滿足網路安全的技能需求。」
 
網路安全團隊需要圍繞敏捷學習改善學習和發展計畫，並基於敏捷學習通過反覆演練和短期突擊來優先發展實踐技能。