Gartner：企业如何构建网络安全的“壁垒”

随着企业数字化转型的深入推进，网络安全边界变得越来越模糊，企业面临的网络安全风险持续增加。因此构建防御性强的网络体系，以保障访问安全已变得迫在眉睫。

近日，Gartner发布了2024年及未来中国网络安全重要趋势。数据显示：中国的安全领域大部分由中国本土的厂商占据；其所面对的安全挑战归为三类：重新指定时间方式（以业务为中心的安全投资、网络安全判断）；应对威胁（威胁暴露面管理、网络韧性、身份优先安全）以及重新考虑技术组合（网络安全平台整合、零信任采用）。

具体来看，在以业务为中心的安全投资方面，2023年Gartner对中国IT预算的调研表明，中国的IT预算增长相对于全球来说，仅仅增长了0.7%，是2014年以来所观测到最低的增幅。可预见的是，中国越来越多的企业CIO/首席安全官会收到“对预算的消减”，包括：IT或者是安全。

“对于安全来说，这已经是很悲观的一个数字了。”Gartner高级研究总监高峰日前在接受笔者的采访时表示，相对于“恐惧”类投资，企业领导者越来越亲呢基于事实的投资，也就是说，如何能够证明其投资的有效性。对于安全领导者而言，需要找到更好的衡量安全投资的方法。

另外，企业部门职能的不同，对于安全的看法也有一定的区别。例如，市场可能会更关心危机沟通和品牌影响力；CEO/总裁关注的是公司估值、公众观感、员工观感；信息科技更关注的是技术层面，数据保护、系统稳定运行增长。

“对于CIO来说，需要就网络安全风险、以及网络安全项目的有效性和业务价值进行有效沟通——这一能力也将有助于他们对安全控制进行适当规模的投资。”高峰强调，CIO还必须能够确定以业务为中心的安全投资的优先级，并在审查网络安全预算时从业务角度论证安全投资的必要性。

在威胁暴露管理方面，随着服务器、网站、数据、应用等暴露面的增多，当终端受到供应链攻击时，软件里面带着的漏洞和恶意代码，从而渗透企业当中；如何在这种情况下，更好的保护企业资产、优先以及明确优先级并作出安全响应，这是需要去重视的。

“Gartner安全运营团队推出了比较大的IP——持续威胁面暴露管理，它的定位不是工具、商业产品和技术，更像是一个流程。”高峰透露，持续威胁面暴露管理氛围五个步骤：范围界定、暴露面发现、优先级排序、验证和动员。

也就是说，持续威胁暴露管理结合了攻击者和防御者的视角，最大限度地减少企业当前和未来面临的威胁，使企业机构能够维持一致、可操作的安全态势、补救措施和改进计划，以便业务高管和IT团队了解情况并采取相应行动。同时让企业机构会使用工具来记录资产和漏洞、模拟或测试攻击，利用其他形式的态势评估流程和技术。

零信任采用领域，Gartner对它的定义，就是说：“零信任是一种安全范式，是根据上下文（最显著的是身份）用持续评估的显性风险/信任级别取代隐性信任，以适应风险优化组织的安全态势。

以往传统做安全一直是根据物理的边界做信任的，可以理解为，如果在企业外部，就会认为不是一个受信任的设备，要通过验证才能访问。但是这种方式其实是有缺陷的，尤其是当前发现企业的资产上“云”趋势明显，物理边界逐渐模糊。所以传统的物理边界或者资产的拥有权方式作为信任的代理的方式已经无法去实施了，这也是零信任的价值所在。

“零信任的概念提出了有十年，之前还是处在比较概念化的领域，近些年已经有更多的一些实践的产品了。例如：零信任网络接入以及微隔离等产品，已经被大量的厂商所提供，并且能够在企业实际业务中进行部署应用落地了。”高峰说。

此外，在网络安全平台整合方面，Gartner在2022年对企业CIO们进行调研，其中有75%的企业在进行寻求安全产品和服务提供商的整合，这一数据在2020年只有29%，增长趋势显著。究其原因在于企业自身的安全工具变得越来越复杂：数据表明，超过37%的企业拥有10种以上的安全工具；6%的企业有20种以上的安全工具。

显然，对于企业来说，寻求减少安全产品和服务提供商的数量，以更少的产品和安全服务提供商去部署，才可以更有效的部署安全。

当然，“寻求整合的主要原因”并不是说要节约成本，更多的是要改善整体组织的风险状况和提高组织的安全能力。“大部分客户寻求的整合方向还是像SASE和XDR几种MiNi生态系统的整合，比如：SASE更多是用户到应用程序访问的安全的几种工具的整合；XDR更多是安全运营，可以整合10种以上的工具。”

身份优先安全方面，过去12个月中，有超过80%的企业都会遭遇到身份相关的信息泄漏。事实上，很多传统身份服务的限制是没有办法很好的适应现在的一些攻击。例如：云服务、数字供应链、远程访问等。这种“静态不灵活”的身份访问策略，不太能够支撑新人来源。

为此，Gartner提出了实现身份优先安全的3C方法：一致性、情景感知和持续性。也就是说，利用中心化的策略、一致性的方法，去对中心化的分布的数字资产进行访问，同时使得身份和资产相关的访问和情景化的数据进行动态持续的决策。

有关网络韧性更多是指能够适应和响应数字业务生态系统的威胁或故障的能力。具有网络韧性的企业机构能够在快速恢复之后，确保软件和技术的基础设施和服务是可靠、安全和可访问的，以应对所有类型的恶意或不利的服务中断。网络韧性战略使恢复原则得到更有效的应用，以最大程度地减少或消除中断带来的业务损失，但目前并不可能消除所有安全事件。

高峰提到，韧性并不是一个新的内容，它其实还是从风险的角度。安全一直在讲“风险”：没有100%的安全。要基于企业能接受的风险，来进行安全云的投资。

最后是，网络安全判断力。需要注意的是，网络安全判断力更多是指整个企业机构中决策者独立做出明智的网络风险决策能力，而不是依赖安全团队的决策协助。

“我们谈到安全，好像所有都是安全人员的责任，但是其实并不是，很多的时候决策负责人是业务人员，而非安全人员。”高峰强调，很多的时候企业遇有新问题，就会通过购买工具来增加决策的能力，以此增加安全人员介入决策能力，但对于企业而言，他们更需要有针对性的指导、定制的会议和分享，以此来提高整体的安全态势。

写在最后

当前，企业已经从相对静态的运营模式转向混合模式，随着网络攻击不断增加、企业面临越来越复杂的多云混合基础架构，以及混合办公常态化，这些都使得企业所面对的网络安全局势，正在从以往所拥有的简单、清晰、有边界、有层次定义的网络安全模型，转向需要应对无处不在、来自不同设备的万物互联状态。

总的来说，结合企业所面对的网络安全现状，以及所处的安全就绪阶段，企业需要调整以往对于网络安全系统建设的逻辑，不能把“将一切威胁和攻击都拒之门外”作为网络安全建设的目标，而是要从现实的业务出发，强调“安全韧性”对于企业的现实意义。