参加亚信安全的C3大会，听了一下Gartner的主题报告2023年网络安全趋势，不得不佩服Gartner在行业深耕基础上的基于行业数据的分析、抽象和提炼概念的能力，以及对趋势的洞察。作为行业实践者，在场景、问题、风险、事件中摸打滚爬，会有一些自己的观点和见解，但囿于环境和样本，普适性和通用性受限，而对于抽象和概念化的能力，也颇显欠缺。在赞同其过程和结论的同时，也碰撞出不少火花，启发了认知的升级，未免手痒，希望在共鸣和意义层面成文分享。杂事缠身，动手已经是月余之后。

　　Gartner的报告提到安全与风险管理（SRM）领导者的概念，并提出网络安全趋势会从3个方面影响网络安全风险的应对以及计划的推进：人才重要性、企业数字化生态可见性和响应式安全能力、以及组织变革基础上的敏捷性安全。

　　从背景的描述中，我们应该理解安全的边界、内涵、组织、人员、流程、技术在数字化时代面临着体系化的变革，不再是信息化时代网络安全的改良，而是彻底的革命。最近在撰写Neoma的博士论文时，研究的主题是从数据安全和数据合规向数据风险的转移，要以企业全面风险管理（ERM）的思维对待数字经济时代数据生产要素面对的保障性挑战，结论是只有全面数据风险管理对数据安全、数据合规、数据质量、数据产权、数据技术的相关风险统筹规划管理、统一布局，才能提升数据生产要素的应用价值，而这个统筹和统一的结果是组织变革。虽然，我仅对数据生产要素进行了研究和报告，但看到Gartner对安全和风险管理（SRM）以及3个影响的分析，不免感同身受，产生英雄所见略同的感觉。

　　Gartner的报告发布于4月，与6月23日C3会议的报告顺序有所差异，本文以C3顺序为准。

　　首先是互联网暴露面管理的流行，大家盘点互联网暴露面资产，有些产品上升到品牌资产管理的范畴，对假冒站点的关停，对暗资产的梳理盘点，对暴露面资产的漏洞评估以及安全防护。然后是持续威胁暴露面管理（CTEM），Gartenr的定义，CTEM关注的是攻击路径的发现、识别以及处置，承接风险治理与合规的需求（GRC），以威胁监测与响应（TDR）为输入，实现对威胁和安全态势的动态实时的更新，从这个维度上来看，已经关注的不是传统接入层的安全，以攻击向量的维度关注全量安全资产的漏洞组合利用。

　　2020年开始关注暴露面资产风险的治理，2021年的重心就开始转移到全面资产的管理，在几次分享中我反复强调资产的安全管理要跳出运维资产管理的静态思维，需要关注资产的动态性，以及资产的生命周期，并且资产的多源、资产的多维、资产的外延和内涵都会发生变化，比如开源组件、工程代码、配置数据、业务数据，都是新型资产的范畴。只有全量资产的动态生命周期安全管理，充分了解资产的脆弱性，才能进一步根据ATT&CK的攻击技术路径形成攻击向量分析，使威胁狩猎（TH）模型为持续威胁暴露面管理提供依据。从这个维度上来看，CTEM的抽象概念的能力显然更胜一筹，不过需要明白其中的本质和含义才有价值。

　　身份这个问题作为访问控制的核心，自信息化以来一直是难以逾越的主题，在企业信息化时代，重点关注的是应用账号问题，在多应用系统领域引出统一身份认证（SSO），结合账号、认证、权限、审计形成众所周知的4A系统，而身份管理系统（IAM）与多因素认证（MFA）成为主要的身份领域产品。进入互联网时代，企业向用户提供的信息系统，以及远程办公和云应用服务（SAAS）的普及，带来新的身份管理问题，客户身份管理系统（CIAM）与传统的员工身份管理系统存在较大差异，而数字化生态带来的合作伙伴员工身份管理系统，在身份的属性、场景、生命周期、管理维度上均存在差异性。如何实现企业生态范围内的实体身份与应用账号、权限管理、业务行为的关联、分析、跟踪与审计，对数字化企业而言是一个新的巨大挑战。

　　零信任的方案在传统网络访问控制的基础上，关注应用层的访问控制，实现身份、业务执行环境设备的管理与认证后的应用动态访问策略控制，替代了传统网络访问控制的VPN模式，但在企业范围内身份与账号关联，企业客户非受控终端身份管理，企业生态合作伙伴员工身份管理层面，缺乏统一的解决方案。在基于实体身份与账号关联分析基础上的行为追溯与分析，动态审计层面缺少统一解决方案。相对于信息化时代的商业套件（COTS）的统一认证，在自建系统与商业系统，跨多SSO和IAM整合层面，仍存在缺陷。

　　因此，动态、自动化、智能、自适应的融合员工、客户、合作伙伴员工的应用身份标识、认证、访问控制、分析、追溯、审计的全生命周期管理系统，定义为应用身份编织免疫，倒是一个简化的概念。

　　利用网络安全验证增强安全的有效性，2022年我大概在2个分享和2篇文章中反复提及有效性验证，国内安全有效性验证主要聚焦在攻击防御模拟（BAS）的范畴，通过建立有效的攻击POC库实现对安全设备防护策略的有效性验证。当然，从攻防的角度来看这是安全有效性验证的重要组成部分，从漏洞管理到资产攻击面管理，关注的都是企业的脆弱性与威胁的验证，传统的漏洞检测、渗透测试、红蓝对抗，是从静态走向动态，从点走向面的延伸过程，基于ATT&CK攻击向量的还原实现威胁狩猎（TH），甚至延伸为自动化红队（CART），是从攻击视角验证防御的有效性。

　　2022年这个主题做过2次分享，也写了2篇文章，当然有效性的验证不止是攻防、配置、流程、人的因素，安全技术栈的基线和风险覆盖，都是我们需要关注的主题。而如何做到全面的安全有效性验证，在不同组织中不同风险、不同策略、不同技术栈，如何实现自动化、智能化、自适应的安全有效性验证，任重道远。

　　整合网络安全平台，降低复杂度是一个理想的目标，但知易行难，不同解决方案从功能的角度具有不同的技术方案和核心能力，商业竞争的本质，以及缺乏整体思维，很难实现安全产品的功能整合。因此，整合网络安全平台，必须跳出常规的功能整合思维，不能仅从逻辑上实现功能整合，需要考虑实践中整合的复杂度与可行性。

　　今年在3个分享的场合谈安全运营，主要在谈安全的方法论问题，安全按照还原论的方法论分解为不同的安全点，全面的安全如何组合各种点的安全产品是个难点，跳出还原论的视角，从系统论的维度看安全，应该是安全方法论的进化和革命。整合平台应该从这个维度出发，不应该是功能整合，而应该是数据整合，这也是我力推网络安全数据生产要素，实现网络安全平台整合的落地方案。

　　转型网络安全运营模式，推动价值创造，Gartner从组织治理和组织文化的角度谈网络安全运营模式的转型，从9个运营要素谈安全运营的专营，包括：推动业务安全风险的决策负责、赋能业务独立安全判断、业务优先的安全驱动指标、需求驱动而不是解决方案驱动的整合、业务流程嵌入安全技术、从分段式到敏捷迭代的工作方式、关注业务安全场景。

　　其实业务对安全负责，安全嵌入业务不是新鲜话题，但由于安全的专业性，很难落实到具体的安全策略中，因此，如何关注安全的业务场景，通过业务优先的安全驱动指标赋能业务安全决策，是核心要素。安全的控制措施往往从技术出发，忽略了用户的需求驱动，举个例子，很多安全运营平台的功能菜单是技术思维，而运营用户的一个事件流程需要多个技术功能菜单的反复切换，这就是功能思维和需求思维的最大差异。

　　网络安全运营的改变既是甲方安全的需求也是乙方产品和解决方案转型的需求，虽然今年很多厂商开启了安全运营的模式，但不能仅单纯的看作是安全服务，和安全风险与事件的响应、溯源与审计，安全运营的本质是安全职能的运营和交付，今年针对这个主题分享了3次，安全运营依然任重道远。

　　从架构的角度来看，安全是追随业务的步伐，业务在云原生架构下以微服务的方式实现功能模块的拆解与组装，Gartner提出了安全的组装式架构的概念，适应组装式业务架构。

　　从CNCF云原生的定义来看，企业数字化生态的技术栈包含开发运营一体化的DevOps、计算能力弹性基础设施容器化、以及微服务架构和持续集成与交付。安全产品的外购特性在DevOps层面不适用，但容器化和持续交付是需要考虑的问题，而不仅是单纯的组装式安全架构。云原生是对安全产品厂商的考验，从传统的交付模式转型为云原生交付模式，支持云原生业务，安全的特性以及实现均发生了重大变化，风险和控制措施需要相应的调整，这个主题也大概做过3-4次分享。

　　Gartner这个趋势更多的设计安全控制措施实施的协同问题，具有同理心的沟通、刻意合作、弹性的安全体验、以道德标准为中心，从而通过降低运营的摩擦，提高控制的执行率、有效性，减少网络安全风险暴露和事件处理的事件从而提高安全的业务价值。

　　企业的安全治理和环境污染治理有异曲同工之妙，在早期关注的是业务功能的快速交付和业务的快速发展，对风险的发现、控制和治理不是优先事项，在企业发展进入一定阶段之后，安全风险的积累对业务造成影响，往往是网络安全介入的开始。因此，安全往往需要控制新增风险的同时，治理存量安全风险。因此，资产和暴露面的梳理，漏洞和脆弱性的梳理，存量技术、流程、制度漏洞的修复、预防、检测、监测的预防和发现控制能力的集成，需要涉及研发、运维部门的协同配合，新增易做，存量难改，是个伤筋动骨的过程。这是以人为本的设计，有序推动协作趋势的由来，也是号称“铲屎山”的过程。

　　Gartner的人才管理趋势了无新意，依然是传统的招募、更新、释放、挽留的放之四海而皆准的标准模式，但对企业安全而言如何做好组织的人员建设与规划，确实值得商榷。

　　网络安全的分工细化、专业性、学习曲线，以及从理论到实践的差异性，导致人才的稀缺是一个现实趋势，也难以避免，需求供给的特征决定安全人员贵也是一个绕不开的事实。因此，大规模的安全自主团队，未必是一个ROI合理的模式，适当规模的自主团队主要承担安全专家+项目经理的角色，对产品的操作运营由厂商提供外包服务是一个现阶段的最佳方案。从未来的角度来看，中小企业托管式安全（MSP）可能成为主流。

　　关于安全在企业中的地位问题，近三年我大概在3-4篇文章中有过探讨，随着网络安全在治理、风险、合规（GRC）中地位的提升，企业全面风险管理（ERM）中，网络安全风险的重要性在数字经济时代日趋重要，从操作风险的细分领域技术风险中可能实现三级跳，从网络安全风险跳过技术风险、操作风险两个层级，与操作风险并列，这是数字经济特征决定的。然而，主流组织架构依然是网络安全向CIO/CTO汇报为主，这也是信息化时代的特征决定的。

　　Gartner的趋势从内容和汇报角色两个维度给出的趋势，是需要转换汇报语言，从技术指标到业务指标，从技术管理者到董事会。董事会承担网络安全的合规责任，当然也需要了解安全的风险和控制措施，遗憾的是，当下的网络安全负责人，往往不具备相应的思维模式和认知体系，有了机会，不一定是你的，不得不说是一种遗憾。

　　Gartner作为专业的咨询机构，在网络安全领域的预测和洞察具备前瞻性，作为一个网络安全从业者，欣然发现近三年对安全领域的感悟和风向与Gartner的网络安全趋势预测竟然有颇多不谋而合之处，不免欣慰。当然，由于自己的经验和认知的局限性，也有不同的观点和看法，一起分享给大家，供参考。返回搜狐，查看更多