Gartner 2019年十大安全项目

当George接任一家零售公司的CISO时，IT安全还相对简单。但随着公司的发展——增加了在线订购、更多的员工以及大量基于云的平台和技术，以支持整个组织的数字业务——安全漏洞也在增加。另外,增加攻击以及网络钓鱼的企图使得人们很难知道应该关注哪些安全项目以及在哪里获得最大的投资回报率。

“对于新的安全项目，将重点放在那些可以解决高度业务影响的项目上”

“安全和风险管理领导者不断被维护现有安全项目和提出新项目的任务轰炸，”他说布莱恩•里德高德纳公司高级董事分析师。“作为新的安全项目的优先事项，重点关注那些可以解决高度商业影响，同时也有能力降低大量风险的项目。”

Gartner为已经采用了所有基本安全措施的组织确定了10个安全项目(排名不分先后)。

项目1:特权访问管理(PAM)

特权帐户(或管理帐户或高度授权的帐户)是攻击者有吸引力的目标。PAM项目将突出显示用于保护这些帐户的必要控制，应该通过基于风险的方法对其进行优先级排序。PAM项目应该涵盖人类和非人类系统帐户，并支持内部部署、云和混合环境的组合，以及用于自动化的api。

项目2:carta启发的漏洞管理

安全团队无法处理大量的漏洞，也无法修补所有的漏洞。因此，srm应侧重于“持续的适应性风险和信任管理”(自由的法令)一种安全方法，在这种方法中，安全在任何地方、任何时间都是可适应的。这要求ciso建立IT资产的业务价值(由业务涉众同意)以及与之相关的风险，以强调关注这些资产的重要性。此外，组织必须了解网络拓扑结构和IT基础结构的任何更改。

项目三:检测与响应

完美的保护方案并不存在，但ciso应该考虑检测和响应项目。问几个问题:如何收集和存储数据以支持检测和响应功能?该技术是否具有广泛的检测和响应特性，或者是否能够利用折衷指标?

“彻底测试任何声称拥有人工智能或机器学习能力的供应商”

如果已经有端点保护平台，可以考虑将该平台作为提供端点检测和响应的选项。对于托管安全服务方法，请考虑向托管提供者提供信息的项目。确保彻底测试任何声称拥有人工智能或机器学习能力的供应商。

项目4:云访问安全代理(CASB)

casb为采用了多个SaaS应用程序的组织提供了可见性和管理的控制点。从发现云应用程序开始，以表面阴影IT来证明这种类型的项目。评估组织是否对SaaS应用程序使用和共享的敏感数据具有控制和可见性。确定每个基于云的服务需要何种级别的可见性和控制。签订侧重于发现和保护敏感数据的短期合同。

项目5:云安全态势管理(CSPM)

虽然云服务提供了高水平的自动化和用户自助服务，但几乎所有云的攻击都是客户配置错误、管理不善和错误的结果。考虑CSPM流程和工具来降低云风险。如果企业只使用一个IaaS平台，查看该提供商是否有cspm选项。如果不是，请确保CSPM提供程序支持企业正在使用的多个云。基于云的CSPM选项将能够基于评估结果进行自动化更改，但是如果企业已经(或正在考虑)使用CASB，那么市场领导者已经拥有了开发良好的CSPM选项。

项目6:商务邮件妥协

商业电子邮件妥协项目可以帮助安全和风险领导者处理网络钓鱼攻击和定义不佳的业务流程。这些项目侧重于技术控制以及特定于组织的过程分解。可定制的机器学习选项可以与当前的电子邮件安全系统集成，安全和风险领导者可以寻求当前的电子邮件安全提供商提供这些控制，以及将项目与安全意识培训和其他端点保护集成。

项目7:暗数据发现

在进行数据中心整合或云迁移之前，请先进行暗数据发现。这是提供低价值和未知风险的数据。减少组织的数据足迹不仅可以降低安全风险，还可以减少风险暴露GDPR以及其他法规。查看驻留在多个数据竖井(即文件共享、数据库、大数据和云存储库)中的数据。关注那些对存储敏感数据的所有系统提供广泛数据存储库支持的供应商。

项目八:安全事件报告

安全事件需要计划、准备和充分的反应。该项目可能侧重于更新现有计划或完全重做响应。评估您当前的响应水平以及计划可以改进的地方。考虑来自提供者的事件响应保留器，它提供了处理主动和响应任务所需的灵活性。

项目9:容器安全性

开发人员越来越多地使用Linux容器来更快地通过开发管道推动数字业务功能，但在投入生产之前，必须对每个容器进行漏洞和问题筛选。容器安全性必须与通用的开发工具和CI/CD管道集成，并与全面的api一起使用，以支持各种安全工具。

首先扫描已知的漏洞和配置问题，然后将该策略扩展到运行时生产。更高级的解决方案可以为每个容器构建详细的“材料清单”，并将其与运行时实际使用的内容进行比较，以推荐可以删除库和代码的位置。

项目10:安全评级服务(SRS)

随着数字生态系统的复杂性增加，安全风险也在增加。除了内部安全和风险，安全和风险领导者还必须考虑供应商、监管机构、客户、业务合作伙伴和平台。利用安全评级服务，为您的整个数字生态系统提供实时、低成本、连续和独立的评分。这应该只是作为一个补充——它不是一个全面的观点，但这些服务是重要的创新。根据您的需求评估多个供应商，并确保将SRS作为选择标准的一部分。