3月初，Gartner確認了2022年的七大安全與風險趨勢。Gartner表示，安全和風險管理領導者需要應對七大趨勢，才能保護企業不斷擴張的數字足跡免受2022年及以后新威脅的影響。

Gartner研究副總裁PeterFirstbrook表示：“全球企業正面臨著復雜的勒索軟件攻擊、針對數字供應鏈的攻擊和深層漏洞。此次疫情加快了混合工作模式的發展和上云速度，這給CISO提出了一道難題：如何保護日益分散化的企業，同時解決資深安全人員的短缺問題。”

這些挑戰引發了影響網絡安全實踐的三個總體趨勢：

• 針對復雜威脅的新應對措施;
• 安全實踐的演變和重構;
• 對技術的重新思考。

以下趨勢將在這三個領域對行業產生廣泛影響。

趨勢1：受攻擊面擴大

企業的受攻擊的暴露面正在不斷擴大。信息物理系統和物聯網的使用、開源代碼、云應用、復雜的數字供應鏈、社交媒體等引發的風險使企業暴露出的受攻擊面超出了其可控資產的范圍。企業必須采用比傳統的安全監控、檢測和響應更先進的方法，來管理更大范圍的安全風險。

數字風險保護服務(DRPS)、外部攻擊面管理(EASM)技術和網絡資產攻擊面管理(CAASM)將幫助CISO實現內外部業務系統的可視化，自動檢測安全短板。

數字風險一般指釣魚欺詐、數據泄露、盜版侵權、威脅誤報等數字化轉型中所面臨的風險，由于其態勢呈現出速度、幅度變化的多樣性，企業自身往往無暇防范，后續可能會借助安全廠商的服務來緩解此類風險。有興趣的可以閱讀一下《DRP數字風險防護2021年度報告》。

補充：網絡資產攻擊面管理(CAASM)出自《Hype Cycle for Security Operations， 2021》，攻擊面管理(ASM)旨在以攻擊者視角，從外部發現企業的數字資產，包括應用、IP、端口、域名、數據、云服務等已知資產和未知資產，并基于資產清點開展風險、脆弱性和異常行為評估，結合內部業務和外部威脅情況開展風險優先排序，進而指導管理者制定緩解措施和處置計劃，及時進行攻擊面收斂，對威脅和風險進行有效管控。

在攻擊面管理(ASM)過程中，可以通過外部攻擊面管理(EASM)和網絡資產攻擊面管理(CAASM)的能力，進行攻擊面的主動檢測和持續監控，通過擴展檢測和響應(XDR)能力被動進行攻擊面檢測和威脅發現，通過突破和攻擊模擬(BAS)以及滲透測試服務(Pen Testing as a Service)等對抗的方式發現潛在的弱點和風險，通過威脅情報準確定位威脅行為，通過漏洞優先級技術(VPT)指導攻擊面收斂。相關技術可以融入到攻擊面管理的技術框架中，并作為一個子集提供獨特的安全能力。

通過攻擊面管理(ASM)框架，可以有效整合企業的安全能力，實現對攻擊面的有效檢測、分析、響應和監控。同時傳統的網絡安全方法論，例如PDCA、ASA(自適應安全框架)模型，都可以過渡到攻擊面管理方法框架中，最終實現以風險為導向的安全管理閉環。對于企業來說，可以有效降低技術成本，可以說攻擊面管理框架使企業具備了從合規導向步入風險導向的條件，讓企業能夠聚焦網絡安全的本質，符合全球網絡安全產業發展的趨勢。

趨勢2：數字供應鏈風險

攻擊數字供應鏈可以讓網絡犯罪分子產生高額的回報。隨著Log4j等漏洞在供應鏈上的傳播，預計將會出現更多威脅。Gartner預測，到2025年全球45%的企業機構將遭受軟件供應鏈攻擊，相比2021年增加3倍。

為了降低數字供應鏈風險，企業機構需要采取新的應對之策，包括進行更加慎重、基于風險的廠商/合作伙伴細分和評級，要求提供安全控制和最佳實踐的證明，向彈性思維轉變，未雨綢繆，走在即將出臺的法規之前。

補充：有人會說，我們現在連供應鏈安全都沒搞明白，怎么又來個數字供應鏈安全，這還怎么玩?其實，可以將其看錯“供應鏈+”，傳統供應鏈其實現在已經不多見了，在當今的數字經濟時代，企業都在加速數字化轉型，沒有網絡，很多公司可能都無法正常運轉，所以盡管提到了數字供應鏈，但實際還是傳統的供應鏈，只是把互聯網、數字化融合了進來。

讓我們來看下數字供應鏈的定義，在國務院辦公廳發布的《關于積極推進供應鏈創新與應用的指導意見》(國辦發〔2017〕84號)中，明確提出“供應鏈是以客戶需求為導向，以提高質量和效率為目標，以整合資源為手段，實現產品設計、采購、生產、銷售、服務等全過程高效協同的組織形態。”

根據網絡釋義，數字化供應鏈(DSC)Digital Supply Chain是全球化、智能化、柔性化生產的基礎。通過平臺實現B2B或C2M的批量生產或是單件定制。數字化供應鏈是基于云端數字化大數據實現智能機器人的處理及應用。只有把物數字化后才可能實現全球化智能化的生產。

舉一個網上數字供應鏈的例子——迪阿股份有限公司：

迪阿股份有限公司旗下高端鉆戒品牌，DR求婚鉆戒，品牌創立之初便立下全球統一浪漫套餐：男士憑身份ID一生僅能定制一枚，寓意“一生·唯一·真愛”。目前，DR鉆戒全球直營真愛體驗店約300家，覆蓋巴黎、香港和中國大陸約110個城市。未來DR將保持體驗店數量快速增長，為更多消費者提供優質浪漫的真愛服務。

面向未來，企業向數字化轉型是大勢所趨，并逐漸成為企業的核心競爭力。而隨著DR規模的不斷擴大，供應鏈采購業務重心已由運營型向戰略型轉變，需要通過數字化手段建立更敏捷的數字供應鏈，規范采購業務領域的管理流程，提升采購管理水平。從真實應用場景出發，搭建一體化數字采購管理平臺，對采購業務進行全流程、全周期的數字化升級，以適應業務的迅猛增長。針對客戶的多元化、需求個性化，通過系統配置、快速迭代滿足客戶，提高整個供應鏈響應速度，應對外部環境的變化。在供應商管理方面，將對供應商的注冊、準入、考核、分類、檔案、風險提示等將實現全生命周期的數字化管理，數據形成有效沉淀，便于進行動態實時管理。在采購業務方面，從采購需求、簽訂合同、訂單管理、收發貨到對賬結算的采購全過程管理，保證采購過程中各個環節之間的信息暢通，提高工作效率，使得采購過程更規范、更透明。充分利用數字化技術的優勢，助力實現企業采購業務的轉型和升級。

趨勢3：身份威脅檢測和響應

精明的攻擊者正在瞄準針對身份和訪問管理(IAM)基礎設施，通過憑證濫用發起攻擊。Gartner提出了“身份威脅檢測和響應(ITDR)”這一術語來描述保護身份系統的工具和最佳實踐合集。

Firstbrook表示：“企業投入巨大精力來提升IAM能力，但其中大部分都專注于改進用戶身份認證技術，這實際上擴大了網絡安全基礎設施基本組成部分的受攻擊面。ITDR工具可以幫助保護身份系統、檢測它們何時遭到破壞并采取有效的補救措施。”

觀點：既然是Gartner造的新詞，那么一定是根據其之前的技術演變而來。這個路徑應該是：檢測與響應(EPP、EDR、UEBA)--XDR、CWPP—SASE(ZTA、IAM、NDR)，然后有了ITDR。其他方面威脅檢測與分析不變，但關注的焦點從終端主機切換到了身份，這和零信任有些相似，把重點從邊界轉移到身份/設備。

最近報道說SentinelOne將以6億美元現金和股票收購Attivo Networks(ITDR公司)。

趨勢4：分布式決策

企業的網絡安全需求和期望日趨成熟，隨著受攻擊面不斷擴大，高管們需要更加敏捷的安全措施。因此，為了滿足數字業務的范圍、規模和復雜性，需要將網絡安全決策、責任和問責制度分散到整個企業，避免職能的集中化。

Firstbrook表示：“CISO的角色已經從技術領域專家轉變為執行風險管理者。到2025年，單一、集中的網絡安全功能將無法滿足數字化企業的需求。CISO必須重新認識自身的職責，幫助董事會、首席執行官和其他業務領導者做出明智的風險決策。”

觀點：Garnter最近幾年一直提倡一種去中心化的理念，比如今年的重要技術趨勢報告中，2020-2021年連續提到分布式云；2021年提出隨處運營、網絡安全網格、組裝式企業趨勢；2022年提出組裝式應用、自制系統(再次提到網絡安全網格)。從技術上升到管理，再到戰略決策，其實并不算意外。理念相同，高度不同。各位可以參考本人之前對這些趨勢的分析。

趨勢5：超越安全意識培訓

許多數據泄露事件仍然因人為錯誤而引起，這證明傳統安全意識培訓方法是無效的。先進的企業機構正在投資于整體安全行為和文化計劃(SBCP)，取代過時的以合規為中心的安全意識宣傳活動。整體安全行為和文化計劃側重培養新的思維方式和行為，從而使整個企業機構內部采取更加安全的工作方式。

觀點：根據BetterCloud對SaaS管理的調查顯示，疏忽大意是迄今為止導致數據丟失的最大威脅。在數據泄露方面，最大的威脅并不是自黑客或內部員工，相反，72%的組織表示，員工通常并沒有惡意，只是想做好自己的工作，但在此過程中可能會無意間暴露敏感信息。

在2020s年代，還在給員工做十年甚至二十年前的安全意識教育，可能有些不合時宜，開發一批新的安全意識培訓課程和理念也許是企業應該考慮的一個新問題。

趨勢6：廠商整合

在降低復雜性、減少管理開銷和提高有效性等需求的推動下，安全技術正在加速融合。擴展檢測和響應(XDR)、安全服務邊緣(SSE)和云原生應用保護平臺(CNAPP)等新的平臺策略正在加速釋放融合解決方案的效益。

例如，Gartner預測，到2024年，30%的企業將采用同一家廠商提供的云端安全網絡網關(SWG)、云接入安全代理(CASB)、零信任網絡接入(ZTNA)和分支機構防火墻即服務(FWaaS)功能。安全功能的整合將降低總體擁有成本，提高長期運營效率，進而提高整體安全系數。

觀點：其實也不算新趨勢，只不過隨著時間積累，造的輪子和孤島太多，越發復雜，難以管控，現在想要統一優化管理，那豈不是天方夜譚？要想改就要從根入手，不下血本不夠狠，那基本是改不了的。產品、平臺、供應商整合喊了好多年，介于很多企業歷史遺留因素過多，暫時沒有太好的辦法。但是，一些初創和中小企業會容易很多，并從中受益。

趨勢7：網絡安全網格

安全產品的整合趨勢正在推動安全架構組件的集成，但企業機構仍需要定義統一的安全策略，啟用工作流，并在整合的解決方案之間交換數據。網絡安全網格架構(CSMA)有助于提供一個通用的集成式安全架構和態勢來保證所有本地、數據中心和云端資產的安全。

Firstbrook表示：“Gartner發布的主要網絡安全趨勢并非孤立存在，而是相互依存和加強。它們將共同幫助首席信息安全官推動自身角色的演變，從而應對未來的安全和風險管理挑戰，并繼續提升他們在企業機構中的地位。”

觀點：連續3年提到網絡安全網格，未來成為一種主流技術應該是穩了。之前有過單獨介紹，有興趣的可以看看。