/
Gartner发布2019年七大安全与风险管理趋势
至顶网CIO与应用频道 03月28日 北京消息:全球领先的信息技术研究和顾问公司Gartner近日发布了将在更长时期内影响安全、隐私与风险领导者的七个安全与风险管理新兴趋势。
Gartner将“大”趋势定义为安全生态系统中尚未得到广泛认可、但有望产生广泛的行业影响并有可能带来重大颠覆的持续战略性转变。
Gartner研究副总裁Peter Firstbrook表示:“外部因素与安全领域特定威胁正在共同影响着整体安全与风险态势,因此该领域的领导者必须做好提高弹性并支持业务目标的充分准备。”
2019年及之后的七大安全与风险管理趋势是:
趋势一:风险偏好声明(Risk Appetite Statements)正在与业务成果挂钩
随着IT战略与业务目标更加紧密地结合在一起,安全与风险管理(SRM)领导者向主要业务决策者有效提出安全事务的能力变得愈发重要。Firstbrook先生表示:“为了避免只关注与IT决策相关的问题,请创建可以与业务目标以及董事会级别决策相关联的简单、实际且实用的风险偏好声明。业务领导者必须明白为何安全领导者要平等地参加战略性会议。”
趋势二:正在重点围绕威胁检测与响应而部署安全运营中心
随着安全警报的复杂性与频率不断增加,安全投资在从威胁防御向威胁检测的转变过程中,需要对安全运营中心(SOC)进行投资。根据Gartner提供的信息,到2022年,50%的安全运营中心将转变为具备综合事件响应、威胁情报和威胁搜索能力的现代化安全运营中心,而在2015年这一比例还不到10%。Firstbrook先生表示:“安全与风险管理领导者需要建立或外包能够集成威胁情报、整合安全警报并自动响应的安全运营中心,这一需求怎么强调都不过分。”
趋势三:数据安全治理框架应该优先考虑数据安全投资
数据安全是一个复杂的问题,如果没有对数据本身、数据的创建与使用环境及其受监管程度的深入理解,就无法解决该问题。一些领先的企业机构正在开始通过数据安全治理框架(DSGF)解决数据安全问题,而非获取数据保护产品并尝试对其进行修改以满足业务需求。Firstbrook先生表示:“数据安全治理框架提供了一个以数据为中心的蓝图,用于识别与归类数据资产并定义数据安全策略。随后,这用于选择相关技术,借以将风险降至最低限度。解决数据安全问题的关键,在于从其所解决的业务风险入手,而不是像多数公司那样首先考虑获取技术。”
趋势四:无密码认证正在引领市场
无密码身份验证(例如智能手机上的Touch ID)开始真正引领市场。由于供需充足,该技术正在被越来越多地部署到针对消费者与员工的企业应用之中。Firstbrook先生表示:“为了打击以密码为目标来访问云端应用的黑客,将用户与其设备关联起来的无密码方法提供了更高的安全性和可用性,这是一种难得的安全双赢。”
趋势五:安全产品厂商正在逐渐提供高级技能与培训服务
Gartner的研究显示,网络安全岗位空缺将从2018年的100万增至2020年底的150万。虽然人工智能和自动化的进步确实减少了人类分析标准安全警报的需求,但敏感、复杂的警报仍然需要人的参与。Firstbrook先生表示:“我们开始看到一些厂商在提供融合产品与运维服务的解决方案以加速产品采用。从全面管理到部分支持等一系列服务均旨在提高管理员的技能水平,并减少日常工作量。”
趋势六:投资云安全能力并将其作为主流计算平台
由于可能无法获得人才且企业机构完全未为此做好准备,向云端迁移意味着安全团队的力量有所减弱。Gartner估计,到2023年,大部分云安全故障都将是由客户的过错而引发的。Firstbrook先生表示:“对于许多企业机构而言,公有云是一种安全可行的选择,但保证安全性是双方共同的责任。各企业机构必须投资于用来构建知识库的安全技能与治理工具,以跟上云开发与创新的快速步伐。”
趋势七:Gartner的持续自适应风险与信任评估将更多地出现于传统安全市场
Gartner的持续自适应风险与信任评估(CARTA)是一种处理数字商业信任评估模糊性的策略。Firstbrook先生表示:“尽管是一个多年过程,但CARTA背后的构思是一种应对安全的战略性方法,其平衡了安全摩擦与交易风险。持续自适应风险与信任评估的一个关键组成部分,是即使在访问得到展期之后也要持续评估风险与信任。随着解决方案日益关注检测异常行为——即使用户与设备通过了认证,电子邮件与网络安全成为迈向持续自适应风险与信任评估方法的两个安全领域示例。”
Gartner客户可阅读《安全与风险管理大趋势》(Top Security & Risk Management Trends),了解更多相关内容。此外,读者可以访问Gartner数字风险与安全中心(Gartner Digital Risk & Security hub),免费查阅相关研究与网络研讨会。
0赞好文章,需要你的鼓励
推荐文章
DeepResearchGym:一款免费、透明且可复现的深度研究评估沙盒,让研究者摆脱商业搜索API的束缚
DeepResearchGym是一个创新的开源评估框架,专为深度研究系统设计,旨在解决当前依赖商业搜索API带来的透明度和可重复性挑战。该系统由卡内基梅隆大学研究团队开发,结合了基于ClueWeb22和FineWeb大型网络语料库的可重复搜索API与严格的评估协议。实验表明,使用DeepResearchGym的系统性能与使用商业API相当,且在评估指标间保持一致性。人类评估进一步证实了自动评估协议与人类偏好的一致性,验证了该框架评估深度研究系统的有效性。
FinTagging: 金融信息提取与结构化的新基准测试,让大语言模型更懂财报数据
这项研究介绍了FinTagging,首个面向大型语言模型的全面财务信息提取与结构化基准测试。不同于传统方法,它将XBRL标记分解为数值识别和概念链接两个子任务,能同时处理文本和表格数据。在零样本测试中,DeepSeek-V3和GPT-4o表现最佳,但在细粒度概念对齐方面仍面临挑战,揭示了当前大语言模型在自动化XBRL标记领域的局限性,为金融AI发展提供了新方向。
SweEval:企业使用中的多语言LLM脏话安全基准测试研究
这项研究介绍了SweEval,一个新型基准测试,用于评估大型语言模型在企业环境中处理脏话的能力。研究团队从Oracle AI等多家机构的专家创建了一个包含八种语言的测试集,模拟不同语调和上下文的真实场景。实验结果显示,LLM在英语中较少使用脏话,但在印地语等低资源语言中更易受影响。研究还发现较大模型通常表现更好,且多语言模型如Llama系列在处理不当提示方面优于其他模型。这项工作对企业采用AI技术时的安全考量提供了重要参考。
无需验证师:如何让大型语言模型在没有答案检查者的情况下进行更好的推理
这项研究提出了"VeriFree"——一种不需要验证器的方法,可以增强大型语言模型(LLM)的通用推理能力。传统方法如DeepSeek-R1-Zero需要验证答案正确性,限制了其在数学和编程以外领域的应用。VeriFree巧妙地计算正确答案在模型生成的推理过程后出现的概率,作为评估和训练信号。实验表明,这种方法不仅能匹配甚至超越基于验证器的方法,还大幅降低了计算资源需求,同时消除了"奖励黑客"问题。这一突破将有助于开发出在化学、医疗、法律等广泛领域具有更强推理能力的AI系统。
2019
03/28
10:18
分享
点赞
现在的AI已经有可能超越人类,INTUITOR系统让AI获得自我评估能力
百度2025 Q1财报深度解读:智能云表现强劲,萝卜快跑已拓展全球 李彦宏详解AI战略:AI-first战略使百度保持领先地位
重新思考数据中心架构,推进AI的规模化落地
DeepMind CEO哈萨比斯:AGI将在2030后到来,年轻人要更重视怎么学习而非学什么专业,梵高画作震撼人心是因为他的人生
大模型应该怎么用?我们大多数人都错了,微软最新研究:大模型对话次数越多,性能越差
英伟达发布Q1财报,黄仁勋:有没有美国芯片,中国AI都会高速发展
五大机器人团队谈:人形机器人的卡点和破局之道
从 0.1% 到无穷大:不断扩大的 GPT 模型如何在未知化学宇宙中变革药物发现的未来
Mistral AI 推出代理框架以争夺企业市场
对抗性 AI:金融网络安全的新前沿
Sardina 向 SUSE Enterprise Storage 用户抛出诱饵
Nvidia 超预期Q1业绩,营收同比增长 69%
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
