Gartner 权威预测未来 4 年网络安全的 8 大发展趋势

翻译：SEAL 安全

原文标题：Gartner Unveils the Top Eight Cybersecurity Predictions for 2022-23

原文链接：https://www.gartner.com/en/newsroom/press-releases/2022-06-21-gartner-unveils-the-top-eight-cybersecurity-predictio

​根据 Gartner 公布的网络安全趋势预测，随着企业对信息安全的重视提高，高管的业绩考核将与网络风险管理能力挂钩。同时，全球近三分之一的国家将在未来三年内通过立法对恶意勒索软件进行整顿，整合安全平台，保障企业快速发展。​ 

在今年的 Gartner 安全与风险管理峰会上，Gartner 高级总监 Richard Addiscott 和 执行副总裁 Rob McMillan 就网络安全重要趋势预测进行讨论。Addiscott 认为，企业已意识到虽然现有的解决方法无法应对所有问题，但可以不断调整思维、理念、程序和架构来做好准备。Gartner 建议网络安全管理者可以把握以下战略规划预测来合理制定未来两年的安全策略。​ 

预测 1

到 2023 年，各国政府相关规定要求企业保障消费者隐私，将覆盖 50 亿公民和全球 GDP 的 70%以上。​

截至 2021 年，已有 50 个国家，共近 30 亿人的消费者隐私权得到保障，同时隐私监管范围也在不断扩大。Gartner 建议企业应当跟踪如每项请求的处理成本和完成时间等指标，并识别效率低的环节以提高自动化效率。​ 

预测 2

到 2025 年，80%的企业将采用从单一供应商的 SSE 平台统一 Web，云服务和私有 app 访问的策略。​ 

随着线上线下混合办公的普及，对于不受时间和设备限制访问数据的需求日益增加。因此，厂商开始提供集成的安全服务边缘 （Security Service Edge, SSE） 解决方案，以提供 Web、私有访问和 SaaS 应用程序的安全保障。与同类解决方案相比，单一供应商解决方案体现出显著的运维效率和安全性，包括更紧密的集成、更小的使用控制台数量和更少的数据解密、检查和重新加密的位置。

预测 3

到 2025 年，60%的组织将把零信任作为安全工作基础，但超过半数的企业无法合理利用其优势。​ 

“零信任”一词在安全厂商的营销和政府安全指导中是个基础概念。这是一种基于身份和场景风险适度信任来取代隐性信任的强大思维模式。但由于零信任既是安全原则，也是组织愿景，因此需要企业进行文化改革，通过有效沟通将其与业务成果联系起来，以发挥“零信任”的效率和价值。​ 

预测 4

到 2025 年，60%的企业将使用网络安全风险作为进行第三方交易和业务活动的主要决定因素。​ 

与第三方相关的网络攻击正在增加，但遗憾的是，根据 Gartner 的数据显示只有 23%的企业安全风险管理者在实时监控第三方的网络安全风险。Gartner 认为，随着消费者和监管机构的关注聚焦，企业开始把与第三方开展业务时将网络安全风险作为重要决定因素，包括关键技术供应商的监控，及涉及并购的复杂尽职调查。

​ 

预测 5

到 2025 年，全球 30%的国家将通过立法来打击勒索软件相关的支付、罚款和谈判。​ 

现代勒索软件团伙在窃取数据时会对其进行加密，而是否支付赎金成为企业业务层面的决定而非安全决策。Gartner 建议企业在谈判之前，先与专业事件响应团队以及执法部门和相关监管机构进行沟通。

​ 

预测 6

到 2025 年，恶意威胁者将对 OT 环境进行更恶劣攻击。​ 

针对运维技术 OT（Operational Technology），如监控或控制设备、资产和流程的硬件和软件的攻击已经变得越来越普遍，破坏性也越来越大。Gartner 表示，在运维技术中，安全和风险管理者应该开始加强对现实世界对人类和环境的危害的重视。

​ 

预测 7

到 2025 年，70%的 CEO 将要求企业建立业务恢复能力，以应对网络攻击、恶劣天气事件、内乱和政治动荡等影响。​ 

新冠疫情暴露了传统业务管理无法支持企业应对大规模中断的局限性。因此 Gartner 建议，风险管理者需要将企业业务恢复能力视为战略要务，并制定相关企业级战略，让员工、利益相关者、客户和供应商都参与进来。

​ 

预测 8

到 2026 年，50%的 C-level 高管的业绩考核将与网络风险管理挂钩。​ 

根据 Gartner 近期调研显示，大多数企业的董事会已经将网络安全视为业务风险而不仅仅是技术 IT 问题。业务的高层领导将逐渐成为网络安全相关工作的负责人。