年中干貨:Gartner 2019十大安全項目前瞻

2019-06-21 324506人圍觀 企業安全網絡安全

摘要

安全與風險管理者需要通過實施這些安全項目以應對網絡安全和降低風險相關不斷變化的需求。

當George接任一家零售公司的CISO時,IT安全相對簡單。但隨著該組織的發展——為支持整個組織的數字業務,在線訂購增多、員工和大量基于云的平臺和技術增加——安全漏洞也隨之增加。此外,越來越多的攻擊和網絡釣魚手段使得人們難以把控應該關注哪些安全項目,以及從哪里獲得最大的ROI。

正文

看來是到了年中甩干貨的時候了,不久前剛剛發布網絡安全漏洞管理規定,隨后Gartner又拋出十大安全項目,感覺信息量有點大起來了。雖然之前2月也有透露過一次,不過這次應該是官方正式發布,原文介紹的比較簡單。

聲明一下:

本文參考資料較多,主要來自Gartner官網、51CTO對2018年十大安全項目的分析、互聯網技術資料、部分為個人觀點,部分為翻譯Gartner原文,部分引用技術材料。

對于新的安全項目,應關注能夠解決業務影響程度較高的相關項目

“安全和風險管理者不斷地維持現有安全項目并提出新項目” ,Brian Reed(分析師,高級主管)在Gartner 2019年馬里蘭州國家港口安全和風險管理峰會期間表示:“作為新的安全項目,重點關注那些可以解決影響業務度高,較大程度降低風險的項目。”

Gartner已經為已采用所有基本安全措施的組織確定了10個安全項目(沒有特定的順序)。PS:雖說沒特定順序,但是放在前邊的肯定是比較受關注的。

這里所說的基本安全措施是指:

1)已經有了較為先進的EPP(Endpoint Protection Platform,端點保護平臺),具備諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能;

2)已經做好了基本的Windows賬戶管理工作;

3)已經有了IAM;(Identity and Access Management的縮寫),即“身份識別與訪問管理”,具有單點登錄、強大的認證管理、基于策略的集中式授權和審計、動態授權、企業可管理性等功能。)

4)有了常規化的補丁管理;

5)已經有了標準化的服務器/云工作負載保護平臺代理;

6)具備較為強健的反垃圾郵件能力;

7)部署了某種形式的SIEM或者日志管理解決方案,具有基本的檢測/響應能力;

8)建立了備份/恢復機制;

9)有基本的安全意識培訓;

10)具備基本的互聯網出口邊界安全防護能力,包括URL過濾能力。

上面10個技術和能力更為基礎,優先級更高,如果上述能力都有欠缺,先別輕易考慮什么十大安全項目。

其次,針對10大項目的選取也比較強調新(客戶采用率低于50%),同時又必須是已經落地的,而且又不能太過復雜(是Project級別而非Program級別)

注:要區別portfolio(項目組合), program(項目集), project(項目)三種項目間的關系。

Gartner 2018年十大安全項目回顧

image.png

Gartner 2019十大安全項目簡介

這里盡可能使用原文來描述,避免有些縮寫會與其他專業名詞混淆。

Project 1:Privileged Access Management (PAM)

特權賬戶管理項目,和2018年一樣,首先提到的還是這個項目。

特權帳戶(或administrative或高度授權的帳戶)對攻擊者很有吸引力。PAM項目將突出應用于保護這些帳戶的必要控制,這些帳戶應該通過基于風險的方法進行優先級排序。PAM項目應涵蓋人工和非人工系統帳戶,并支持現場、云、混合環境的組合,以及用于自動化的API。

那么具體PAM是個什么東西呢?(參考2018年的資料)

【項目目標客戶】該項目旨在讓攻擊者更難訪問特權賬戶,并讓安全團隊監測到異常訪問的行為。最低限度,CISO 們應該要求對所有管理員實施強制多因素認證,建議同時也對承包商等外部第三方的訪問實施強制多因素認證。

【項目建議】先對高價值、高風險的系統實施PAM,監控對其的訪問行為。PAM工具為組織的關鍵資產提供安全的特權訪問,以符合對特權賬號及其訪問的監控管理合規需求。PAM通常具備以下功能:

1)對特權賬號的訪問控制功能,包括共享賬號和應急賬號;

2)監控、記錄和審計特權訪問操作、命令和動作;

3)自動地對各種管理類、服務類和應用類賬戶的密碼及其它憑據進行隨機化、管理和保管;

4)為特權指令的執行提供一種安全的單點登錄(SSO)機制;

5)委派、控制和過濾管理員所能執行的特權操作;

6)隱藏應用和服務的賬戶,讓使用者不用掌握這些賬戶實際的密碼;

7)具備或者能夠集成高可信認證方式,譬如集成MFA(Multi-Factor Authentication,多因子認證)。

很顯然,雖然國內談PAM很少,但實際上早已大量運用,其實就對應我們國內常說的堡壘機。

Gartner將PAM工具分為兩類:PASM(特權賬戶和會話管理)和PEDM(權限提升與委派管理)。如下圖所示:

image.png

顯然,PASM一般對應那個堡壘機邏輯網關,實現單點登錄,集中的訪問授權與控制,設備系統密碼代管、會話管理、對操作的審計(錄像)。

PEDM則主要通過分散的Agent來實現訪問授權與控制,以及操作過濾和審計。國內的堡壘機一般都沒有采用這種技術模式。

Gartner分析未來PAM的技術發展趨勢包括:

1)支持特權任務自動化,多個操作打包自動化執行;

2)將PAM用于DevOps,讓DevOps更安全更便捷;

3)支持容器;

4)支持IaaS/PaaS和虛擬化環境;

5)以云服務的形式交付PAM;

6)特權訪問操作分析,就是對堡壘機日志進行分析,可以用到UEBA技術;

7)與漏洞管理相結合;

8)系統和特權賬戶發現;

9)特權身份治理與管理。

Gartner列出了評價PAM的幾個關鍵衡量指標:

1)環境支持的情況,是否支持云環境?

2)具備PASM和PEDM功能,具有錄像功能;

3)提供完備的API以便進行自動化集成;

4)具備自然人/非自然人的賬號管理功能。

在Gartner的2018年IAM技術Hype Cycle中,PAM處于早期主流階段,正在向成熟的平原邁進。

國內堡壘機已經發展好多年了,本人早些年也負責過這塊業務。國外PAM也趨于成熟,Gartner估計2016年全球PAM市場達到了9億美元,市場并購也比較頻繁。Gartner對中國的PAM市場了解甚少,沒有什么研究,這里我也建議國內的堡壘機領導廠商可以主動聯系Gartner,讓他們更多地了解中國的PAM市場。

Project 2: CARTA – inspired vulnerability management

基于CARTA的弱點管理,為什么這里不叫漏洞而成為弱點,稍后會解釋,贊成網上某大佬的說法。CARTA:Continuous Adaptive Risk and Trust Assessment,持續自適應風險與信任評估。

安全團隊無法處理大量的漏洞,也無法對所有問題進行修補。因此,SRMs應該關注一種“持續的自適應風險和信任管理”(CARTA)安全方法,其中安全在任何地方、任何時間都是自適應的。這要求CISOs建立IT資產的業務價值(由業務涉眾商定)和與之相關的風險,以強調關注這些資產的重要性。此外,組織必須了解網絡拓撲結構和對IT基礎設施的任何更改。

那么這個CARTA又是個什么東西,為什么Gartner最近兩年一直在吹?

image.png

如何控制風險?這就首先要知道好和壞,什么是攻擊?什么是正常的業務訪問?誰可以進來?誰不能進來?(參考2018年項目介紹資料)

如何判斷好壞,這是個問題。以前,我們通過預先知道的規則/簽名/ACL/……來判定好壞,但是隨著高級威脅的日益頻繁,依賴先驗性的知識無法判定好與壞了。同理,我們現在也很難直接地去判定某個業務的安全風險,很難判定對內部員工、外部合作伙伴的信任度。

因此,Gartner推出了一個稱作CARTA的戰略方法,強調要持續地和自適應地對風險和信任兩個要素進行評估。

風險,是指判定網絡中安全風險,包括判定攻擊、漏洞、違規、異常等等。持續自適應風險評估是從防護的角度看問題,力圖識別出壞人(攻擊、漏洞、威脅等)。說到風險,我認為是信息安全中一個很關鍵的詞。現在我們更多聽到的是威脅、數據,譬如以威脅為核心、數據驅動,等等,以風險為核心感覺過時了一樣。其實,安全還真是要時時以風險為核心!數據、威脅、攻擊、漏洞、資產,都是風險的要素和支撐。我們檢測攻擊,包括高級攻擊,最終還是為了評估風險。

信任,是指判定身份,進行訪問控制。持續自適應信任評估是從訪問控制的角度看問題,力圖識別出好人(授權、認證、訪問)。

自適應,就是指我們在判定風險(包括攻擊)的時候,不能僅僅依靠阻止措施,我們還要對網絡進行細致地監測與響應,這其實就是ASA自適應安全架構的范疇。另一方面,在我們進行身份與訪問控制的時候,也不能僅僅依靠簡單的憑據,還需要根據訪問的上下文和訪問行為進行綜合研判,動態賦權、動態變更權限。

持續,就是指這個風險和信任的研判過程是持續不斷,反復多次進行的。

CARTA強調對風險和信任的評估分析,這個分析的過程就是一個權衡的過程。圖中的天平很形象地闡釋了“權衡”(Balance)一詞。

image.png

權衡的時候,切忌完美(Perfect),不能要求零風險,不能追求100%信任,否則業務就沒法開展了。好的做法是不斷地在0和1之間調整。

在談及保護的時候,Gartner提到了一個響亮的觀點:利用縱深分析(Analytics in-depth)和自動化來進行保護。

1)縱深分析:這是一個從縱深防御演進而來的術語,強調了隨著安全問題逐漸變成大數據問題,而大數據問題正在轉變成大分析問題,進而縱深防御也逐漸變成了縱深分析。縱深分析就是要對每個縱深所產生的大量數據進行分析研判,動態地去進行風險與信任評估,同時還要將不同縱深的數據進行融合分析。而所有這些分析,都是為了更好的檢測,而檢測是屬于防護的一環(跟阻斷、響應一起)。

2)自動化:在安全保護中,自動化的本質是為了為快速的響應。

【項目目標客戶】基于CARTA理論,該項目能夠很好地處理漏洞管理問題,并有助于顯著降低潛在風險。在補丁管理流程中斷,以及IT運維的速度趕不上漏洞增長的速度時,可以考慮該項目。你無法打上每個補丁,但你可以通過風險優先級管理顯著降低風險。

【項目建議】要求你的虛擬助手/虛擬機供應商提供該能力(如果客戶已經上云/虛擬化的話),并考慮使用風險緩解措施,譬如上防火墻、IPS、WAF等等。

以下為引用某大佬的分析:

注意,弱點管理不是弱點評估。弱點評估對應我們熟知的弱點掃描工具,包括系統漏掃、web漏掃、配置核查、代碼掃描等。而弱點管理是在弱點評估工具之上,收集這些工具所產生的各類弱點數據,進行集中整理分析,并輔以情境數據(譬如資產、威脅、情報等),進行風險評估,并幫助安全管理人員進行弱點全生命周期管理的平臺。記住,弱點管理是平臺,而弱點掃描是工具。

另外,Vulnerability Management我一直稱作“弱點管理”,而不是“漏洞管理”,是因為弱點包括漏洞,還包括弱配置!如果你認為Vulnerability應該叫做漏洞,那也沒關系,但不要把弱配置落掉。

那么,什么叫做基于CARTA的弱點管理呢?熟悉CARTA就能明白,本質上CARTA就是以風險為核心一套安全方法論。因此,基于CARTA的弱點管理等價于基于風險的弱點管理。基于風險的管理是一個不斷迭代提升的過程,包括弱點發現、弱點優先級排序、弱點補償控制三個階段。

這套理論幾句話說不清楚,有興趣的可以去看下對該項目的分析和解讀,反正就是很高大上的東西,目前還在理論階段,無落地案例。

Gartner對基于CARTA方法論的VM的衡量指標包括:

1)是否有情境信息,誰受到攻擊?不僅是IP,而是他的情境信息都需要,以便全面評估;

2)能否算出資產的業務價值?

3)能否繪制網絡拓撲,給出緩解措施?

4)把VA(漏洞評估)和漏洞管理一并考慮,譬如集成VA工具。

Project 3: Detection and Response

完美的保護選項并不存在,但是CISOs應該考慮檢測和響應項目。幾個問題:

如何收集和存儲數據以支持檢測和響應功能?

該技術是否具有各種各樣的檢測和響應特性,或是利用折中指標能力?

如果您已經擁有端點保護平臺,請將該平臺視為提供端點檢測和響應的選項。對于托管安全服務方法,請考慮將信息提供給托管提供者的項目。確保徹底測試任何聲稱擁有人工智能或機器學習能力的供應商。

【項目目標客戶】該項目適用于那些已經認定被攻陷是無法避免的組織。他們希望尋找某些基于端點、基于網絡或者基于用戶的方法去獲得高級威脅檢測、調查和響應的能力。這里有三種方式可供選擇:

EPP+EDR:端點保護平臺+端點檢測與響應

UEBA:用戶與實體行為分析

Decption:欺騙

欺騙技術相對小眾,但是一個新興的市場。對于那些試圖尋找更深入的方法去加強其威脅偵測機制,從而獲得高保真事件的組織而言,采用欺騙技術是個不錯的點子。

【項目建議】給EPP供應商施壓要求其提供EDR功能,給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術供應商提供豐富的假目標類型組合。考慮從供應商那里直接采購類似MDR(“可管理檢測與響應”,或者“托管檢測與響應”)的服務。

這里就不再具體展開來說,引用去年的總結:

目前市面上常見的新型威脅檢測技術大體上包括:EDR、NTA、UEBA、TIP(威脅情報平臺)、網絡沙箱、欺騙技術等。可以說這些新型技術各有所長,也各有使用限制。

這里面,威脅情報比對相對簡單實用,但前提是要有靠譜的情報。沙箱技術相對最為成熟,但也被攻擊者研究得相對最透。EDR在整個IT架構的神經末梢端進行檢測,理論效果最好,但受限于部署和維護問題,對宿主的影響性始終揮之不去,甚至還有些智能設備根本無法部署代理。NTA(Network traffic analysis,網絡流量分析)部署相對簡單,對網絡干擾性小,但對分散性網絡部署成本較高,且難以應對越來越多的加密通信。UEBA肯定也是一個好東西,但需要提供較高質量的數據輸入,且機器學習分析的結果確切性不可能100%,也就是存在誤報,多用于Threat Hunting,也就是還要以來分析師的后續分析。

欺騙技術理論上很好,而且基本不影響客戶現有的業務,但需要額外的網絡改造成本,而且效果還未被廣泛證實。對于客戶而言,不論選擇哪種新型技術,首先要把基礎的IDP(Intrusion Detectionand Prevention,入侵檢測與實時防御)、SIEM(安全信息與事件管理)布上去,然后再考慮進階的檢測能力。而具體用到哪種新型檢測技術,則要具體問題具體分析了,切不可盲目跟風。

Project 4: Cloud Access Security Broker (CASB)

【項目目標客戶】該項目適用于那些移動辦公情況相對較多,采用了多個云廠商的云服務的組織。這些組織希望獲得一個控制點,以便獲得這些云服務的可見性和集中的策略管控。

【項目建議】以服務發現功能作為切入點去驗證項目的可行性。建議在近兩年將高價值敏感數據發現與監測作為關鍵的應用案例。

該技術從2014年就開始上榜了,技術內涵基本沒有變化。

CASB作為一種產品或服務,為企業認可的云應用提供通用云應用使用、數據保護和治理的可見性。CASB的出現原因,簡單說,就是隨著用戶越來越多采用云服務,并將數據存入(公有)云中,他們需要一種產品來幫助他們采用一致的策略安全地接入不同的云應用,讓他們清晰地看到云服務的使用情況,實現異構云服務的治理,并對云中的數據進行有效的保護,而傳統的WAF、SWG(安全Web網關)和企業防火墻無法做到這些,因此需要CASB。

CASB相當于一個超級網關,融合了多種類型的安全策略執行點。在這個超級網關上,能夠進行認證、單點登錄、授權、憑據映射、設備建模、數據安全(內容檢測、加密、混淆)、日志管理、告警,甚至惡意代碼檢測和防護。CASB就是一個大雜燴。

CASB一個很重要的設計理念就是充分意識到在云中(尤指公有云)數據是自己的,但是承載數據的基礎設施不是自己的。Gartner指出CASB重點針對SaaS應用來提升其安全性與合規性,同時也在不斷豐富針對IaaS和PaaS的應用場景。Gartner認為CASB應提供四個維度的功能:發現、數據保護、威脅檢測、合規性。

Neil Mcdonald將CASB項目進一步分為了云應用發現、自適應訪問、敏感數據發現與保護三個子方向,建議根據自身的成熟度選取其中的一個或者幾個優先進行建設。而這三個子方向其實也對應了CASB四大功能中的三個(除了威脅檢測)。

云訪問安全代理(CASB)近幾年有了較大發展,可作為管理云端及現場系統身份驗證及加密的有效方式。

可以將CASB想象為企業所有云端服務及現場系統的中央數據身份驗證及加密中心,并可被所有終端訪問,包括私人智能手機和平板電腦。CASB時代以前,企業安全經理看不全公司數據的受保護情況。隨著BYOD(Bring Your Own Device,自攜帶設備辦公)和非托管設備的盛行,數據經由個人手機或平板訪問時的風險也在加大。

而隨著云計算的興起,企業也需要找到跨多個云交付一致安全的方法,保護所有使用企業數據的用戶CASB由此應運而生,幫助企業更好更深入地觀察云及SaaS使用情況——細致到單個文件名和數據元素的程度。

大多數主流安全供應商都購買了CASB解決方案:Oracle (Palerra)、IBM (Gravitant)、微軟 (Adallom)、Forcepoint (Skyfence)、Proofpoint (FireLayers)、賽門鐵克 (Skycure)和邁克菲 (Skyhigh Networks)等等。3家依然屹立的獨立供應商則是CipherCloud、Netskope和Bitglass。

怎樣購買合適的B CASB解決方案

在開始評估之前,不妨先用CASB提供商的免費服務計劃看看自己都有哪些云資產。Cofense的Cloudseeker也有這項服務,但他們并不售賣CASB解決方案。大多數供應商都會在一個月的使用期里免費提供有限數量的App或服務,供用戶看清自己的資產暴露面和這些工具與自身基礎設施的匹配度。

購買CASB之前你應該考慮:

選取關鍵App初步試點CASB項目,然后以該較小集合運行一個產品,再逐步擴大應用規模。

弄清自己是否想要與現有身份即服務(IDaaS)/單點登錄(SSO)工具整合。

別將云訪問看成簡單的“是”或“否”身份驗證事件。知道自己何時需要更細粒度的身份驗證,弄清自己是否想要CASB來施現該功能。

知道自己的產品是否支持現場級數據加密,怎樣加密。

看看多模式CASB,這樣你才能靈活覆蓋多種可能用例,并要確保自己知道產品在每種操作模式下的局限性。

檢查產品是否能與安全網頁網關、應用防火墻、數據丟失預防工具和電子郵件提供商融合。對照審查CASB提供的這些功能與現有產品的功能。

計算成本。Gartner估算,適用少量云App的單個安裝在15美元/用戶/年左右,更健壯的覆蓋多模式不受限云App的安裝大約在85美元/用戶/年。

Project 5: Cloud Security Posture Management (CSPM)

【項目目標客戶】該項目適用于那些希望對其IaaS和PaaS云安全配置進行全面、自動化評估,以識別風險的組織。CASB(云訪問安全代理)廠商也提供這類能力。

【項目建議】如果客戶僅僅有一個單一的IaaS,那么先去咨詢你的IaaS提供商;客戶如果已經或者想要部署CASB,也可以先去問問CASB供應商。

CSPM(Cloud Security Posture Management)是Neil自己新造的一個詞,要理解CSPM,首先就要分清楚CSPM和CWPP的關系,Neil自己畫了下圖來闡釋:

image.png

如上圖所示,在談及云工作負載的安全防護的時候,一般分為三個部分去考慮,分屬于兩個平面。一個是數據平面,一個是控制平面。在數據平面,主要包括針對云工作負載本身進行防護的CWPP(Cloud Workload Protection Platforms),以及云工作負載之上的CWSS(云工作負載安全服務)。CWSS是在云工作負載之上對負載進行安全防護。在控制平面,則都是在負載之上對負載進行防護的措施,就包括了CSPM,以及前面的CWSS(此處有重疊)。

CSPM能夠對IaaS,以及PaaS,甚至SaaS的控制平面中的基礎設施安全配置進行分析與管理(糾偏)。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置(如加密設置)。理想情況下,如果發現配置不合規,CSPM會采取行動進行糾偏(修正)。大體上,我們可以將CSPM歸入弱點掃描類產品中去,跟漏掃、配置核查擱到一塊。

云的正確配置是很重要的一件事,譬如因為對AWS云的S3 bucket配置不當,已經發生了多次重大的信息泄露事件。云廠商一般也都會提供類似的功能,但是對于跨云用戶而言,需要有專門的配置管理工具去消除不同云環境中的具體配置差異。

Gartner認為CASB中應該具備CSPM功能。同時,一些CWPP廠商也開始提供CSPM功能。

Project 6: Business email Compromise

業務郵件入侵項目可以幫助安全和風險管理者處理釣魚攻擊并定義不清的業務流程。這類項目關注技術控制以及特定于組織的過程分解。可定制的機器學習選項可以與當前的電子郵件安全系統集成,安全和風險管理者可以向當前的電子郵件安全供應商尋求提供這些控制,并將項目與安全意識培訓和其他端點保護集成在一起。

本項是今年新加入的安全項目,這里主要說的是電子郵件信息泄露、釣魚郵件等,不是垃圾郵件。個人認為,此類安全問題更多層面還是員工意識問題,而非技術問題,跟多的應該加強安全意識教育和培訓,配合技術手段來解決,畢竟通過郵件來釣魚,什么樣的防護設備都是沒用的。

Project 7: Dark Data Discovery

Gartner將暗數據定義為“組織在常規業務活動中收集、處理和存儲的信息資產,但通常不能用于其他目的(例如:分析、業務關系和直接貨幣化)”。當涉及到分析時,這些暗數據可以提供巨大的價值,是確保業務視角準確和完整的關鍵需求。暗數據挖掘也是今年新提出的安全項目,官方的說明如下:

在進行數據中心整合或云遷移之前,先進行暗數據發現。這些數據附帶低價值和未知風險屬性。減少組織的數據痕跡不僅可以降低安全風險,還可以減少對GDPR和其他法規的風險暴露。查看跨數據倉庫(即文件共享、數據庫、大數據和云存儲庫)專注于為所有存儲敏感數據的系統提供廣泛數據存儲庫支持的供應商。

Project 8: Security Incident Report

安全事故報告,新上榜的項目,有點類似我們的應急響應,重點應該是流程,而不是關注應急響應的技術應對手段和資源池。官方的介紹如下:

安全事件需要規劃、準備和及時的響應。該項目可能關注更新現有計劃或完全重新處理響應。評估你目前的響應水平并規劃可以改進的地方。考慮來自能夠提供處理主動和被動任務所需靈活性的供應商的應急響應機制。

Project 9: Container Security

容器安全。新上榜安全項目,也是近幾年被逐漸推廣的一項技術。配合敏捷性實現快速迭代和更替,操作非常方便,但隨之而來的安全問題也漸漸顯現,其實幾年前國內已經開始這方面的安全項目。

開發人員越來越多地使用Linux容器來更快地通過開發管道推動數字業務功能,但是在投入生產之前,必須對每個容器進行漏洞和問題的篩選。容器安全必須與常規開發工具和CI/CD集成,并與API一起使用,以支持各種安全工具。

首先掃描已知的漏洞和配置問題,然后將策略擴展到實時生產環境。更高級的解決方案可以為每個容器構建一個詳細的“材料清單”,并將其與運行時實際使用的內容進行比較,以推薦可刪除庫和代碼的位置。

Project 10: Security Rating Services (SRS)

安全評級服務。新上榜安全項目,這塊作為服務來講,一開始不太理解,看了官方解釋后大概猜想了一下應用場景。比如,甲方擁有多個供應商提供產品和服務,那么對于這些供應商的選擇如何來平衡和優化,就需要對其進行評分(類似KPI考核),而這就需要另外的一些專業機構提供評級服務(甲方一般不會自己去干這種事,費時費力),有點類似等保定級的意思,這樣一來每家供應商都會有一個自己的評級,配合服務器期間甲方對服務水平的考核能夠整理出每家供應商的KPI指標,量化方式給各家排名。

大概就是這么個意思,ISO27001中供應商管理也提過一些,竟然上升到了十大安全項目之一。不過話說回來,國外這么搞好像還算靠譜,但國內的話,可能要根據實際情況了,畢竟環境有所不同。

官方解釋如下:

隨著數字生態系統的復雜性增加,安全風險也隨之增長。除了內部安全和風險之外,安全和風險管理者還必須考慮供應商、監管機構、客戶、業務伙伴和平臺。利用安全評級服務為您的整個數字生態系統提供實時、低成本、連續和獨立的評分。這只是作為一種補充 - 而不是一個完整的觀點,但這些服務是重要的創新。根據您的需求評估多個供應商,并確保將 SRS 用作選擇標準的一部分。

總結

總體來看,前五位的項目基本還是去年的項目,只是排名有所變化,經過1-3年的時間,也有了一些實踐和案例支撐,可以參考。但是對于今年的新項目,比如暗數據挖掘、安全評級服務這類新內容,只能大概介紹一下,沒辦法詳細說明。而像郵件入侵、安全響應報告、容器安全,其實已經有很多實踐,大家應該也都比較了解,所以就沒必要展開來說了,各位大佬應該比我更懂。Gartner的預測準確度以及代表性個人還是比較認可的,很多趨勢都是按照他們的技術曲線在推動。

以上就是2019年十大安全項目的介紹。

參考資料

https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2019/

*本文原創作者:宇宸,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

相關推薦
取消
Loading...
宇宸de研究室

看頭像就知道,超兇的。╮(╯▽╰)╭

42 文章數 85 評論數 87 關注者

特別推薦

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图 追光娱乐app官网下载 幸运农场开奖直播 正版平特一肖图由ww 熊猫娱乐棋牌下载2019 山西快乐十分彩经网 手机麻将软件排名 新网球王子ova版 资产配置5大类 广东南粤36选7好彩1 四川熊猫麻将链接下 青海快三开奖结果今天开奖号码 秒速赛车平台推荐 单机麻将手机版不用网 香港挂牌彩图正版2019 武汉麻将规则胡图解 单机版麻将游戏