写在前面
上次直播聊企业安全工作规划应该怎么做,过程聊到一个核心的话题,就是作为企业安全的管理者,如何科学的规划企业安全工作未来的方向。
我想这就需要对未来网络安全行业的发展趋势有一些洞察。
所以这一次我想和大家简单分享一下,我自己这几年对网络安全行业的一些观察,和对未来趋势的一些分析。
我大概梳理总结了十个关键观点,这一次先聊聊前五个关键观点及核心逻辑,更细节的一些思考在7月20日晚19:30直播的时候再详细聊。
企业安全建设从合规驱动主导转向业务需求驱动
首先,对于企业来说,安全满足合规只是底线要求。
其次,随着越来越多企业的核心业务数字化、智能化的程度越来越高,所面临的网络安全风险自然也越来越高。包括近些年会看到,越来越多的大型企业的核心业务,都广泛受到加密勒索、数据泄漏、挖矿病毒等的黑灰产攻击;
最后,当前企业发展的主基调是追求利润和效率的最大化,那么安全投入同样也非常关注业务价值的评估。
软件供应链安全威胁正在成为企业安全最大的威胁之一
首先,随着软件研发(制造)的产业越来越成熟,对软件供应链(开源/商业)的依赖也越来越多,各行业软件应用系统的外部供应链软件依赖占比普遍超过90%。
其次,过去企业安全建设更加关注对于企业自研系统的防护,而对于外部软件供应链的管控,既缺乏技术能力,同时也缺乏成熟的管理体系。
再者,今天对于企业来说大量的软件供应商普遍安全能力非常弱,包括在安全上的投入、安全技术水平、管理能力,都远远低于甲方的安全水位。
最后,当下全球的黑灰产已然发现,通过对被企业广泛使用的软件供应链发起投毒、漏洞攻击,所带来的收益性价比非常高。
以上这些因素叠加在一起,使得软件供应链安全威胁正在成为企业安全最大的威胁之一。
企业必须围绕资产管理建立高效率的风险控制体系
首先,前面讲到企业未来很长一段时间的主基调,都是追求效率和利润,那么安全同样需要追求效率的最大化。那根本就在于要将有限的资源投入到风险最高的地方去,做好风险控制,而企业信息安全风险的三要素是资产、威胁、脆弱性,所以首先需要搞清楚资产。
其次,在搞清楚资产的情况下,才有可能根据资产本身价值来评估优先级,然后对各类数字化资产进行威胁及脆弱性的检测和识别,进而进行风险的处置。
最后,只有资产管理全面、基于资产的威胁和脆弱性识别全面和准确,才有可能真正判断清楚企业所面临风险的优先级,才能准确的将有限的资源覆盖至最高的潜在风险控制上。
数据安全仍然是核心话题,但是形成成熟体系仍挑战巨大
首先,在互联网及AI时代,数据仍然是企业最重要的资产。
所以从资产的风险控制角度来说,数据安全一定会是未来很长一段时间,企业安全工作的核心。
但是因为本身数据资产很难被标准化的管理,这就导致围绕数据资产的安全风险控制体系会变得异常的复杂。
那么未来最大的挑战在于,如何在企业内部建立一套数据资产管理的平台,能够准确、全面的评估企业的数据资产,然后才有机会把数据安全落地好。
目前实际上还并没有形成一套成熟的可落地的标准和体系。
仍然需要随着包括AI在内的基础技术成熟度越来越高,大家在企业安全建设上的程度越来越高,才有可能形成一套成熟的数据安全治理体系。
安全人才市场两极分化:复合型和实战型人才稀缺
今天,身边企业安全从业者朋友,一边在抱怨找不到合适的人,另外一边又在抱怨找不到合适的工作。
本质上我认为主要还是今天安全人才市场出现了两极分化。
随着企业对于安全的要求越来越高,既要懂安全技术、又要能够理解业务并和业务深度协同,那么这对于安全人才的要求就非常高。
过去安全行业培养出来的大量人才,都是更多地专注于安全相关技术,对于企业安全治理和业务理解、协作能力是非常欠缺的。
因为市场的需求在不断变化,所以市场对于安全人才的画像和要求也在不断的变化,所以这个过程中,能够前瞻性的理解网络安全行业未来发展趋势的人,同时能够赶紧行动起来,积极布局和学习,才能在行业不断变化和发展的过程中持续保持竞争力。
关于如何更深入地理解网络安全行业未来的发展趋势,以及对于我们每一个从业者来说,机会在哪?我相信这是所有从业者最关心的问题。
那么7月20日晚上19:30,我们就围绕这个话题好好聊聊,分享关于企业安全市场的发展趋势、大家当前碰到的普遍困局,以及解决方案的一些建议。
