每年六月，Gartner 都会在华盛顿附近召开 Gartner 安全与风险管理峰会。 这场峰会主要面向 CISO、首席风险官、建筑师、IAM 和网络安全领导等高级 IT 和安全专业人员。 今年，有超过 3000 名与会者，120 场分析师会议可供选择，还有 200 名供应商参加了展会并发表演讲。


      今年 5 月底正式生效的 GDPR 无疑成为了会议的热门议题，区块链也有颇多讨论。但纵观整个峰会，分析师们更加强调的是“回归本源”，注重基础设施、开发过程中的安全性。


      许多分析师都在会上谈到了数据相关的问题。GDPR 生效之后，数据不断升值。 Gartner 研究总监 Brian Lowans 在会议上抛出了“数据已经成为新一类石油”这个观点，强调了数据的重要性，并分享了 Gartner 关于“数据安全状况”的分析结果。当前形势下，建立一个管理结构并让各个组织共同协作，有助于识别数据、将数据分类并采用战略性方法保护数据。 一些分析师使用了相同的图表（如下图）来表明，黑客攻击导致的数据泄露持续增长，而内部威胁和意外泄露等问题则比较平稳。基于这种趋势，可以采取针对性的手段来确保安全。


      此外，Gartner 研究总监 Gorka Sadowski 和 Pete Shoard 还展示了 2018 年的威胁状况（见下图）。 回顾威胁状况不仅能展示新攻击媒介、脚本小子工具和韩国黑客带来的噩梦般的攻击场景，而且有助于控制风险 。 通过类比来看待“风险”，可以发现人工可以控制以及无法控制的部分。而利用那些可控的部分，就能减小风险。


      我们通常无法预防威胁，但是，我们可以通过搭建良好的基础设施，来降低已知漏洞的风险，好是为业务制定“优先处理风险进而处理漏洞”的策略。这个策略也是整场峰会几天来一直持续的主题。 以现场讲解的“通过代码库中的恶意软件注入将恶意软件传播到组织代码中”为例，演讲者不仅在 GitHub 中演示了详情，还列举了一些自我保护的方法。例如：不使用开源代码改变流程并在使用代码之前检查 MD5 值。 代码签名是避免泄露的简单而有效的方式，但它必须通过流程或技术来执行。因此，执行过程中可能出现问题，而安全研究员必须尽力在这个过程中来降低风险，确保安全。


      DevOps 行之有效


      Trend Micro 云研究副总裁 Mark Nunnikhoven 表示：DevOps 一直在被滥用，导致这个词失去了原本的意义。目前已经有很多 DevOps 工具，不少组织还推出了专业“DevOps 人才”，但 DevOps 的核心其实是平衡组织内部的开发和运营环节。


      DevOps 重点关注人员、流程和产品，并已经在企业和交付环节持续取得成功，获得良性反馈和循环。从安全角度来看，DevOps 有助于创建“一种协作文化，通过减少生产环境的变化来降低风险”。


      Nunnikhoven 说，公司如果能反应迅速，做出更小的变更，就能降低风险。以前，较大的组织部署可能包含数千行代码，从中找出漏洞根源可能很难。但是，随着 DevOps 发展出更多形态，企业可以每天多次部署，推出多次小的更新，舍弃以前一次性发布的较大更新。重要的是，安全应当嵌入到开发过程中，不能作为一个额外的审计步骤。


      这就要求安全部门需要发挥真正的作用，提高员工对 DevSecOps 的认识，打破孤岛，让安全团队更早地成为开发流程的一部分，让更多问题在生产中就能捕获，从而降低产品发布后的风险。


      安全融入用户体验


      数字化时代，越来越多的用户开始重视个性化体验，安全领导者若想成功，也需要重视这一点。Gartner 研究副总裁 Leigh McMullen 在峰会上表示，虽然作为安全人员希望事事都在掌控之中，但是人往往是不受控制的因素。因此，安全领导者在与业务部门沟通时以及在推出安全产品时，可能要改变参与方式，适当放弃控制来获得话语权，让领导者真正重视安全问题。在这一部分，他们所指的用户主要是企业组织的高管与领导者等。


      安全不应该破坏用户体验，但很多情况下安全的确妨碍了良好的用户体验。 用户，以及企业中的每一个人，都希望他们的付出获得相应的回报。如果你的用户体验不好，就可能被用户淘汰。


      Gartner 表示，安全和风险领导者可以通过五种方法来提升用户（高管）体验：


      与管理者谈谈安全这件重要的事情：Gartner 分析师表示，研究表明，对风险和安全的担忧会对创新产生重大影响。很多组织因为担心安全问题而放缓脚步，安全领导者需要与企业高管谈论安全对于高管所看重的业务的影响，让他们意识到业务需要依赖于安全。同时，如果能够提升高管对于风险与安全的意识及容忍度，就能让公司发展得更快，实现商业价值。


      通过基于运营的风险评估策略帮助高管做出决定：Gartner 建议，安全领导可以从一个业务流程开始，与执行该流程的人面谈，进而让业务进行得更加顺畅；


      做好防御，让高管有方案可选：企业高管一般不直接管控技术风险和安全。但是，当一个组织遭到黑客攻击时，公众依然希望高管能为安全漏洞后果负责。因此，好为高管设计特定的防御策略，以防在真正遇到问题时手足无措；不要谈论纯技术内容：高管往往更关心业务而非具体的技术，因此在与高管对谈时，好不要谈论纯技术内容，而是应当尽量抽走技术，根据业务成果做出决策，让决策更加可靠。


      把项目管理改为产品管理：项目管理是安全领导一直以来的事情。他们优先考虑和资助活动。例如，项目管理流程包括开始、执行、实施、验收测试、集成和部署等，往往有开始和结束周期。而产品管理则是连续的环节，大多围绕业务流程进行组织，同时为相关业务流程提供 IT 支撑。产品管理没有具体结束日期，会在产品生命周期中不断把控、保护、管理。


      做好这几项，就能提升用户（高管）体验，让组织在安全方面做得更好，实现安全管理者的目标和责任。