Gartner公司2020-2021年度十大安全项目

安全的电子书:2022年领导的愿景

“你是否试图确保远程员工的安全，但又不想妨碍业务生产力?”“您是否在识别安全能力的风险和漏洞方面遇到了困难?”“CISOs应该把时间和资源放在哪里?”

安全和风险管理专家经常问这些问题，但真正的问题应该是，在不断变化的安全环境中，什么项目将为组织带来最大的业务价值并降低风险。

下载电子书:安全与风险管理领导者的首要任务

“我们可能会花费太多宝贵的时间来过度分析我们在安全方面所做的选择，努力追求这种根本不存在的完美保护概念，”他说布莱恩•里德，高级总监分析师，在虚拟高德纳安全与风险管理峰会，2020年．“我们必须超越基本的保护决策，通过创新的方法来检测和响应，并最终从安全事件中恢复，提高组织的抵御能力。”

关键是优先考虑业务支持并减少风险沟通的重点有效地对业务。

根据高德纳的预测并根据COVID-19的影响进行了调整，今年的十大安全项目包括八个新项目，重点关注风险管理和了解流程故障。这些项目没有按重要性排序，可以独立执行。

第一:保护远程工作人员的安全

关注业务需求并理解用户和组如何访问数据和应用程序。现在距离最初的远程推送已经过去了几个月，是时候进行需求评估和检查更改的内容了，以确定访问级别是否正确安全措施实际上妨碍了工作。

导游:关于网络安全你需要知道的一切

第二:基于风险的漏洞管理

不要试图修补所有的东西;关注那些实际上可以被利用的漏洞。超越对威胁的大规模评估，并使用威胁情报、攻击者活动和内部资产关键度来提供对真实组织风险的更好看法。

3 .扩展检测和响应(XDR)

XDR是一个统一的安全和事件响应平台，它从多个专有组件收集和关联数据。平台级集成发生在部署点，而不是在后面添加。这将多个安全产品合并为一个，可能有助于提供更好的整体安全结果。组织应该考虑使用这种技术来简化和简化安全。

第四:云安全态势管理

组织需要确保IaaS和PaaS之间的共同控制，以及支持自动评估和纠正。云应用程序是非常动态的，需要自动化的DevSecOps风格的安全性。如果没有确保跨云安全方法的策略一致性的方法，要确保公共云的安全是具有挑战性的。

阅读更多:2020年，来自Gartner的云安全宣传周期的顶级行动

5 .简化云访问控制

云访问控制通常是通过CASB完成的。它们通过提供策略执行和主动阻塞的内联代理提供实时执行。casb还提供了灵活性，例如，从监视模式开始，以更好地确保流量的保真度并了解安全访问。

6号:DMARC

组织机构将电子邮件作为唯一的验证来源，而用户很难区分真实信息和虚假信息。DMARC，即基于域的消息认证、报告和一致性，是一种电子邮件认证策略。DMARC不是电子邮件安全的全部解决方案，它应该是整体安全方法的一部分。但是，它可以通过发送方的域提供额外的信任和验证层。DMARC可以帮助域名欺骗，但不能解决所有的电子邮件安全问题。

7 .无密码认证

虽然员工在使用与个人邮箱相同的密码时可能会毫不犹豫，但这可能会导致严重的安全问题。无密码认证在功能上可以以几种不同的方式工作，为安全提供了更好的解决方案。目标应该是增加信任和改善用户体验。

8 .数据分类和保护

所有的数据都不一样。一刀切的安全方法会导致某些领域的安全性过高，而另一些领域的安全性过低，从而增加组织的风险。在开始添加安全技术层之前，先从策略和定义开始，以确保流程正确。

第九:劳动力能力评估

在正确的岗位上安置具有正确技能的正确的人。将硬技术技能与软领导技能结合起来至关重要，但也颇具挑战性。没有完美的候选人，但是您可以为每个项目确定5到6个必须具备的能力。以多种方式评估能力，包括网络测距、网络模拟和软技能评估。

10 .安全风险评估自动化

这是帮助安全团队理解与安全操作、新项目或规划级风险相关的风险的一种方法。风险评估往往要么被完全跳过，要么在有限的基础上进行。这些评估将允许有限的风险自动化和对存在风险差距的可见性。