Gartner发布2025年网络安全重要趋势

　　Gartner公司于近日发布2025年网络安全重要趋势。这些趋势受到包括生成式人工智能(GenAI)的演进、数字去中心化、供应链相互依存、监管变化、地方性人才短缺和不断变化的威胁态势等在内的因素影响。

　　Gartner高级首席分析师Alex Michaels表示：“安全和风险管理(SRM)领导者今年面临挑战与机遇并存的局面，其目标在于实现转型和提高弹性。努力实现这两个目标，对确保企业在快速变化的数字世界中实现安全且可持续的创新至关重要。”

　　以下六大趋势将对这些领域产生广泛影响。

　　趋势一：GenAI推动数据安全计划

　　传统的安全工作和财政资源大多集中于保护数据库等结构化数据上，但GenAI的兴起正在深入改变数据安全计划，将重点转向保护文本、图像、视频等非结构化数据上上。

　　Michaels表示：“许多企业完全调整了自己的投资战略，这对大语言模型(LLM)训练、数据部署和推理流程产生了重大影响。这一转变表明，领导者在阐释GenAI对其项目所产生的影响时，必须重新审视和调整他们的战略重点。”

　　趋势二：机器身份管理重要性凸显

　　随着GenAI、云服务、自动化和DevOps实践的日益普及，机器账户和凭证在物理设备和软件工作负载中的使用愈发频繁。若不加以控制和管理，机器身份会显著扩大企业的受攻击面。

　　Gartner调研发现，SRM领导者面临着制定强大的机器身份和访问管理(IAM)战略以防范攻击的压力，这需要整个企业上下协调一致的努力。Gartner在2024年8月至10月间对全球335位IAM领导者进行了调研，发现 IAM 团队负责的企业机器身份只占到44%。

　　趋势三：AI部署更具策略性

　　SRM领导者实施AI的结果喜忧参半，促使他们重新确定计划的优先级，并将重点放在具有直接、可衡量影响的小范围用例上。更具策略性地实施使AI实践和工具与现有指标相结合并融入现有计划中，提高AI投资实际价值的可见性。

　　Michaels表示：“如今，SRM领导者肩负着明确的责任，需要确保第三方AI使用的安全、保护企业AI应用，并通过AI提高网络安全。通过专注于更具策略性、明显有益的改进，他们可以最大程度地降低网络安全计划的风险，并更容易展示进展。”

　　趋势四：网络安全技术需要优化

　　根据Gartner在2024年8月至10月间对162家大型企业进行的调研，目前平均每家企业使用45种网络安全工具。而网络安全领域有超过3000家供应商。因此，SRM领导者需要优化工具集来建立更加高效且有效的安全计划。

　　Gartner建议将目标定为保持一种平衡，使得采购、安全架构师、安全工程师和其他利益相关方都能满意，以便维持恰到好处的安全态势。为此，SRM 领导者应巩固和验证核心安全控制措施并关注增强数据可移植性的架构。同时，他们还可以使用威胁建模和其他推动企业技术发展的方法(例如采用AI)评估高级需求。

　　趋势五：安全行为和文化计划的价值正在拓展

　　大多数企业的安全行为和文化计划(SBCP)已到达拐点。卓越的SRM领导者正认识到这些计划在改善网络安全态势方面的价值。根据Gartner的调研，GenAI是推动这些计划变革的最大动力之一。到2026年，如果企业能够将GenAI与基于SBCP的集成平台架构相结合，就能减少40%因员工而起的网络安全事件。

　　这一趋势越来越受关注是因为人们日益认识到良好和不良的人类行为都是网络安全的关键组成部分，围绕文化和行为的活动已成为解决人类层面网络风险理解和管理问题的重要途径，反映了将安全融入企业文化的战略转变。

　　趋势六：网络安全职业倦怠问题需要解决

　　Gartner调研发现，在受到系统性技能短缺影响的行业，SRM领导者和安全团队的职业倦怠已成为一个重大问题。这种普遍的压力源于在不断变化的威胁、监管和商业环境中保护高度复杂的企业所带来的持续需求，而他们的权力、高管支持和资源却很有限。

　　Michael表示：“必须认识到网络安全职业倦怠及其对企业的影响并加以解决，才能保证网络安全计划的有效性。卓越的SRM领导者不仅高度重视自身的压力管理，还投资于能够明显提高个人韧性的团队福利计划。”