在组织中构建自适应安全体系结构

许多企业IT安全团队花费大量时间专注于防止网络攻击。在这样做的过程中，他们实现了一种“事件响应”的思维方式，而不是一种“持续响应”，在这种情况下，系统被认为受到了损害，需要持续的监控和补救。

自适应安全架构是一个有用的框架，可帮助组织对现有和潜在的安全投资进行分类，以确保安全投资的方法平衡。与其让当今的“热门”安全初创公司来定义安全投资，Gartner建议安全组织评估他们现有的投资和能力，以确定他们的不足之处。

Gartner预测，到2020年，40%的大型组织将建立“安全数据仓库”，以支持高级安全分析。

自适应安全的概念，高德纳公司提出的“2017年十大战略技术趋势”是现代数字业务的重要组成部分。

“数字业务建立在设备、软件、流程和人员的智能网络之上，”他说大卫Cearley他是研究副总裁兼Gartner研究员。“这意味着安全问题将变得更加复杂，需要采取持续的、有背景的、协调一致的方法。”

他补充说，适应性安全循环有四个阶段。

预防和检测是传统网络安全方法的关键支柱。“然而，在数字世界中，预测新的威胁和自动化日常网络安全响应和实践——为最复杂的事件腾出人类专家的时间——是保持领先于不断扩大的威胁和风险的关键，”ceearley先生说。

此外，随着组织越来越多地使用基于云的系统和开放，仅依赖于预防和检测外围防御和基于规则的安全性(如防病毒和防火墙)变得不那么有效应用程序编程接口(api)来创建现代商业生态系统。IT部门不能像过去那样控制组织的信息和技术的界限。

因此，当前许多组织的“事件响应”心态——将安全事件视为一次性事件——必须转变为“持续响应”的立场。必须假设组织将受到损害，黑客渗透系统的能力永远不会被完全反击。持续监控系统和行为是在为时已晚之前可靠地检测到威胁的唯一方法。

然而，这种连续的方法产生了巨大的数据量、速度和种类。高级分析将成为下一代安全保护的基础，Gartner预测，到2020年，40%的大型组织将建立“安全数据仓库”来支持这一功能。

先进的机器学习和人工智能(AI)

“先进的机器学习和人工智能(AI)元素将把这种分析方法扩展到安全领域，”切尔利说。“随着这些功能成为主流，随着供应商将不同的安全功能集成到由嵌入式分析和人工智能驱动的单一平台中，自适应安全架构将变得更加普遍。”

目前引起广泛关注的一个常见示例是用户和实体行为分析(UEBA)。这些系统对用户、对等组和其他实体(如设备、应用程序和网络)的活动进行概况和基线分析。它们将用户和其他实体的活动和行为联系起来，并检测异常模式。例如，组织可以看到用户是否访问了他们通常不访问的网站，或者下载了他们通常不下载的东西。异常行为会触发警报。

“为了使下一代安全最有效，它必须深入集成到组织架构中，”ceearley说。这意味着安全团队必须克服他们与应用程序开发和运营团队之间的组织障碍。因此，他们可以提供有意义的反馈，并确保新系统不会引入无法有效应对的新威胁。”