超级CSO研修班 | 周智坚:平台化+数字化+订阅服务=下一步的安全趋势
发布网友
发布时间:2024-12-05 00:29
共1个回答
热心网友
时间:22小时前
企业面临的安全挑战:一方面,安全团队难以快速适应业务应用的增加,保护业务系统安全;另一方面,安全人员与安全单品的工作模式导致安全风险分散,难以提前发现并有效加固。此外,企业难以量化网络安全对业务的价值,安全往往被视为可有可无的存在。
周智坚指出,安全架构需要从纵深防御向基于端到端的零信任架构升级。这一架构包含安全业务化、闭环化、风险管理数字化等多个维度,旨在通过统一平台整合安全能力,实现数字化可视,提升安全效率,不增加编制,优化企业安全水平。
零信任架构的优势在于,它能集中安全资源,让所有团队围绕安全平台开展工作,实现安全能力的持续提升。同时,平台能有效解决安全碎片化问题,实现安全领域的闭环管理,形成从预防、检测到响应的全链条安全体系。
零信任架构的实施路径包括:从远程接入场景开始,增强端到端安全防护;数据强化攻击检测及响应平台,提升检测准确率和自动化处置能力;优化内网防入侵措施,实现端网一体化防护;加强对WEB业务的深层保护,做好无文件审计;内*主动防御,精准鉴黑,精细化管控,降低横向攻击风险。
在能力建设方面,未来企业安全重点将转向提升安全运营响应速度和准确率、数据资产安全、访问控制、安全大数据消费的AI能力、资产暴露面管理、安全效果验证、开发安全能力以及泄密威慑能力。企业将逐步补齐风险管理能力,通过平台化整合安全资源,加速补齐缺失的安全能力。
安全建设方向将逐渐从网络安全转向数据资产安全、智能产品安全和OT/IOT安全。数据安全的重要性日益凸显,随着企业数字化进程的深入,数据保*规的出台和产业互联趋势的发展,数据安全成为企业关注的重点。此外,OT/IOT场景和智能产品的安全问题也成为新的关注点,涉及智能产品的市场合规、物联网运营安全,以及车联网和工控安全等领域。
在立项和决策层面,安全项目将更多地采用IPD思维,即以市场需求为导向,通过跨部门协同运作,实现产品和解决方案的交付。企业需要将安全融入业务流程,解决利润提升、降本增效和客户群体扩大的问题,获得老板和业务部门的支持。
安全效果量化是企业衡量安全投资回报的关键。通过明确安全负责人与老板的沟通口径,确保以简单一致的方式传达安全对业务的价值。安全团队需要提供清晰的数据,如攻击防护能力的提升、针对公司攻击的黑灰产分布预判、主动发现的数据泄密威慑数量及趋势预判等,以获得资源投入。
安全组织职能将逐步融入业务部门,实现安全与业务的深度融合。同时,国内外安全市场将呈现出不同的产品形态和产业格局,企业对CISO(首席信息安全官)的能力要求也将发生变化。此外,甲方与乙方之间的合作模式将更加紧密,共同应对不断变化的安全挑战。
