上周Gartner在“2024年网络安全六大趋势”报告中指出，新的一年中改变企业网络安全市场的六大驱动力和趋势分别是：

• 生成式人工智能(GenAI)
• 不安全的员工行为
• 第三方风险
• 持续的威胁暴露
• 董事会沟通差距
• 身份优先的安全方法

Gartner的预测，2024年将是企业高度重视安全文化建设的一年，同时也将诞生首个生成式人工智能驱动的安全产品，到2025年，这些工具将带来真正的风险管理成果。

近日，Gartner高级研究总监分析师Richard Addiscott对“六大趋势”进行了深入解读，具体如下：

趋势一：CISO对生成式人工智能既爱又怕

Addiscott指出，在不久的将来，生成式人工智能可以帮助安全部门提高防御能力，包括漏洞管理、威胁情报和响应等领域。

“生成式人工智能还可以帮助安全团队提高运营效率，这在当前全球网络安全人才短缺的情况下，是关键的业务驱动因素，”他说。

然而，生成式人工智能的“副作用”也不容忽视。到目前为止的一些案例显示，部分使用生成式人工智能的员工更容易出现提示疲劳，而不是生产力增长。不过，企业仍应鼓励内部和外部的安全部门进行试验并管理期望。

Addiscott表示，尽管许多企业最初持怀疑态度，但对人工智能技术仍抱有"坚定的长期希望"。

趋势二：安全行为和安全文化在企业落地生根

安全文化对所有网络安全项目都至关重要。根据Gartner的说法，越来越多的CISO开始接受这一理念，并采用安全行为和文化计划(SBCP)。

Gartner预测，到2027年，50%的大型企业首席信息安全官将采用以人为中心的安全性实践。

Addiscott解释说，"SBCP代表了一种更全面、更综合的方法，其目的是培养和嵌入更安全的行为和工作实践，贯穿整个组织。"

这种策略采取了更加全面的视角，涵盖所有企业角色和职能，而不仅仅关注最终用户员工的行为。

为了支持企业向这一模式转变，Gartner开发了PIPE（实践、影响、平台、推动因素）框架，指导安全意识项目中并不常用的实践，例如组织变革管理、以人为本的设计实践、营销和公共关系以及安全辅导。

PIPE还鼓励企业将员工人口统计、企业预算、高管风险文化以及数字和网络素养纳入其网络安全计划中。此外，还可以通过整合来自各种安全工具的员工使用数据来个性化这些计划（生成式人工智能也可以在此发挥作用）。

Addiscott指出，SBCP允许组织深入挖掘数据，以确定哪些员工行为导致了某些安全事件。例如，他们是否泄露了凭证、点击了不安全链接或滥用了电子邮件。然后，他们可以采取更平衡的方法向前发展。

他表示，高层的支持是至关重要的，同时还需要有一个员工可以理解的"良好安全态势"的愿景。领导者应该意识到安全文化学习没有"一刀切"的方法，并且还应该定期评估项目效果。

Addiscott承认，"SBCP比传统的安全意识培训计划要大得多，而且并非所有企业都具备扩展到超出当前能力范围的能力、成熟度或能力，可以循序渐进，量力而行。"

趋势三：用好的安全指标弥合董事会沟通差距

Gartner强调，随着全球监管机构寻求加强网络安全方面的规则，2024年董事会必须更加熟悉组织风险。然而，Addiscott指出，董事会通常缺乏"深入的网络安全专业知识"。

他指出，以技术为中心、以运营为导向、以及过去导向/滞后的网络安全绩效指标对企业高管来说毫无意义，无法帮助他们真正理解公司面临的风险以及如何应对风险。

这催生了成果驱动型指标(ODM)，它本质上是将网络安全投资和它们提供的保护之间直接关联。安全领导者可以用"可视化"方式展示其安全项目的绩效，并根据企业的风险偏好展示所取得的成果。

Gartner表示，"ODM是制定可辩护的网络安全投资策略的核心，它反映了具有强大性能的商定保护级别，并用非IT高管可以理解的

趋势四：第三方风险管理至关重要

软件供应链正遭受持续攻击，第三方发生网络安全事件只是时间问题。

Addiscott指出，CISO应该更加关注"以弹性为导向的投资"，而不是"前期尽职调查"。

他建议加强对网络安全风险较高的第三方参与的应急计划。此外，还要创建针对第三方的事件手册、进行桌面演练并定义明确的“下车”策略（例如及时撤销访问和销毁数据）。

Addiscott表示，"为企业数字化能力建立强大而有弹性的供应链对于更广泛的组织弹性至关重要"。

趋势五：面向未来的网络安全技能再培训

毫无疑问，网络安全人才荒并未结束。Gartner报告称，仅在美国，合格的网络安全专业人员就只够满足当前需求的70%。

云迁移、生成式人工智能应用、运营模式转型、不断扩大的威胁环境和供应商整合只会加剧人才短缺趋势，同时还在不断产生大量新安全技能需求。

因此，网络安全领导者需要摒弃传统的人才招聘筛选规则，例如要求应聘者具备"n"年经验或特定技能（因为这些技能可以学习）。他们应该着眼于招聘"相关技能"、"软技能"（例如商业敏锐度、口头沟通和同理心）以及全新网络安全角色需要的“新技能”。

Gartner建议企业制定网络安全劳动力计划，记录所需技能并展示角色将如何演变。他们还应该培育学习文化，通过"迭代、短时间的爆发"而不是"瀑布式"的培训来纳入实践技能开发。

值得注意的是，Gartner强调"要为未来招聘，而不是为过去招聘"。职位描述应该删除"大牛"要求，即那些几乎没有应聘者可以达到的“理想人才标准”。

趋势六：IAM和持续威胁暴露管理(CTEM)势头强劲

近年来，随着SaaS应用加速、数字供应链扩展、远程工作和其他因素的推动，攻击面急剧扩大，导致企业留下了许多盲点。他们的可见性有限，并且他们的技术往往是孤立的。

Gartner表示，为了解决这一问题，许多企业正在采用持续威胁暴露管理(CTEM)。CTEM帮助安全团队持续评估和管理暴露，而不是试图找到并修补每个漏洞。这使他们能够根据企业的具体威胁环境进行修复。

Gartner预测，到2026年，优先考虑CTEM的企业的违规事件将减少三分之二。

与此同时，身份访问管理(IAM)变得越来越重要。Gartner建议企业"加倍努力实施适当的身份卫生措施"。他们还应该扩展身份威胁检测和响应(IDTR)，实施安全态势评估，并通过"向身份架构演变"来"重构"身份基础设施。

总结：给CISO的六大建议

后疫情时代，网络安全将面临新的挑战和机遇。生成式人工智能、安全行为和文化、第三方风险管理、网络安全技能再培训、身份管理以及持续威胁暴露管理(CTEM)的兴起，都将对网络安全格局产生重大影响。

针对以上趋势，Gartner建议CISO在新的一年：

• 积极探索生成式人工智能在网络安全领域的应用潜力。
• 培育以人为本的安全文化，并通过安全行为和文化计划(SBCP)提升员工的安全意识。
• 加强对第三方风险的管理，建立强大的供应链安全体系。
• 通过再培训和技能提升，打造一支适应未来需求的网络安全人才队伍。
• 不断完善身份管理体系，以应对日益复杂的威胁环境。
• 积极采用持续威胁暴露管理(CTEM)策略，提升组织的整体安全防护能力。