Gartner发布2024年网络安全预测 :IAM 和数据安全相结合,解决长期存在的挑战

安全和风险管理领导者需要采用可组合的数据安全视图。这项研究预测,将数据安全创新应用于痛点和高级用例将有助于组织将其数据用于几乎任何用例。

主要发现

  • 在所有云服务模型中,数据安全以及身份和访问管理 (IAM) 的责任均由最终客户承担。

  • 由于这两个学科作为客户管理的最重要的安全控制而脱颖而出,因此它们越来越重叠和交织。

  • 利用数据安全和 IAM 之间日益增加的重叠仍然具有挑战性,因为这两个以前孤立的学科都有自己的标志性技能和术语。

建议

  • 通过将关键数据管理功能和实践纳入 IAM 解决方案的核心要求来优化IAM技术组合。

  • 通过将孤立的数据中心控制整合到数据安全平台 (DSP) 中,实施满足重要策略管理和执行要求的数据访问控制,并与流行的数据目录集成。

  • 通过识别可从哪些来源获取哪些上下文数据并定义动态的上下文感知策略,确保灵活、可扩展和基于风险的访问。

  • 识别数据风险和身份风险,并将它们结合使用作为组织内战略数据安全的主要指令。

战略规划假设

到 2026 年,在 IAM 计划中采用顶级数据实践的组织将实现 IAM 和数据安全计划目标的价值交付时间缩短 40%。

到 2027 年,面临人工智能和数据安全要求的组织将基于策略的访问控制实现标准化,以释放超过 70% 的数据的价值。

到 2027 年,70% 的组织将把数据丢失防护和内部风险管理 (IRM) 规则与 IAM 环境相结合,以更有效地识别可疑行为。

分析

你需要知道什么

数据安全和 IAM 作为网络安全领域中不同的学科而存在。然而,随着越来越多的组织利用云服务(包括最流行的 SaaS 产品),发生了显著的转变。许多公司现在将重要的安全控制(例如管理存储、应用程序和网络的控制)委托给他们选择的云服务提供商 (CSP)。

图 1 说明了基础设施即服务 (IaaS)、平台即服务 (PaaS) 和 SaaS 云模型的安全交接点。切换点在模型的堆栈中向上移动。IaaS 提供最多的控制权,并让客户承担相应的安全责任。SaaS 提供的控制最少,而 CSP 承担大部分安全责任。

图 1:数据安全和 IAM 仍然是客户的持续责任

在这一转变中,值得注意的是,虽然移交了许多安全责任,但数据保护和访问管理仍然是所有云服务交付模型(IaaS、PaaS 和 SaaS)中最终客户的责任。实际上,数据安全和 IAM 始终是客户的核心责任。鉴于这种持续的责任,一个有趣的演变正在进行中。数据安全和 IAM 正在走向更紧密的共生关系。由于这两个学科作为客户管理的最重要的安全控制而脱颖而出,因此它们正在趋同。

市场活动和不断变化的需求动态不仅是反映指标,也是这种融合的驱动因素。Gartner通过查询数据发现,企业经常将数据安全、数据管理和 IAM 作为不同的、孤立的实体进行管理。随着组织的发展,他们意识到对这些学科采取孤立的立场往往会导致效率低下和结果不佳。数据安全需要IAM作为控制面的一部分,而如果没有数据安全,IAM就无法有效扩展全面的访问控制。结果是,共同努力可以使组织克服在单独处理这两个学科时出现的长期存在的难题。

这种觉醒在很大程度上推动了这些曾经独立的领域的整合。至关重要的是要认识到最重要的挑战在于根深蒂固的孤岛心态。IAM 的未来、数据管理和数据安全比以往任何时候都更加紧密地交织在一起,并且可能很快就会变得密不可分。

数据安全和 IAM 的共同发展标志着云环境或任何其他环境中保护敏感数据和管理用户访问的范式变化。总之,随着云服务不断重新定义网络安全格局,数据安全和 IAM 成为关键的基石。他们将共同塑造客户管理的安全控制的未来,不仅确保保护,而且确保对更高阶风险(例如内部风险)进行有效和负责任的管理。

战略规划假设:到 2026 年,在 IAM 计划中采用顶级数据实践的组织将实现 IAM 和数据安全计划目标的价值交付时间缩短 40%。

主要发现:

  • 数据安全和 IAM 的融合很大程度上是由于将这些学科视为孤立的孤岛而导致效率低下。Gartner 调查数据表明,企业正在认识到数据安全、数据管理和 IAM 之间的相互关联性,并认识到隔离方法会产生次优结果。这一转变强调了将 IAM、数据管理和数据安全视为一个整体的必要性。

  • 对IAM程序改进的投资主要集中在 IAM 能力(技术支持和手动)改进上,我们很少看到在支持 IAM 程序的数据安全和数据管理改进方面的专门投资。

  • IAM 数据可用性和质量问题极大地限制了许多组织中 IAM 功能的有效性。虽然维护数据目录是识别和解决这些问题最重要的第一步,但大多数组织尚未在数据目录中记录其 IAM数据。

  • 大多数采用 IAM 功能的组织仅限于 IAM 技术供应商的数据管理功能,例如身份治理和管理 (IGA)、访问管理 (AM) 和特权访问管理 (PAM)。由于内置的数据集成和数据治理功能通常不足以满足客户的需求,这经常会导致重大的实施和集成挑战,从而减慢许多IAM程序和其他相互依赖的程序(包括数据安全)的价值交付时间。

  • 大多数 IAM 计划既没有积极参与数据和分析计划来推动 IAM 数据管理改进,也没有在 IAM 计划中“嵌入”数据管理或数据安全专业知识。这导致 IAM 项目缺乏针对 IAM 数据质量、可用性和集成改进的明确计划或路线图。

市场影响:

从历史上看,平均而言,IAM 项目领导者一直希望领先的 IAM 技术供应商提供所有必需的技术能力,以实现有效交付 IAM 控制和服务。虽然数据管理、工程、治理和集成挑战经常减缓企业 IAM 计划和业务价值交付的进展,但这些挑战很少被明确归因于缺乏数据管理和治理能力。大多数 IAM 项目都选择“凑合”使用可用的数据集、高度手动的数据增强和现有的 IAM 技术。

随着组织在 IAM、数据安全性以及数据和分析成熟度方面的提高,越来越多的组织将 IAM 控制和计划有效性的这种“拖累”正确地归因于其 IAM 计划中数据管理和数据工程能力的应用不足。这种日益普遍的实现/分析将给IAM 解决方案供应商带来压力,要求他们增加对自己或内置数据管理和治理功能的投资,以符合数据管理的行业顶级实践(或与领先的数据结构技术供应商合作,提供这个能力)。

IAM 控制权的“拖累”还将导致 IAM 项目领导者更常见地:

  • 除了 IAM 技术之外,还采用和/或实施组织的通用数据管理和数据结构功能,以改进 IAM 计划结果。值得注意的是,这是几十年前发生的事情,当时企业目录是“领先的 IAM 技术”,许多较大、成熟的组织选择使用主数据管理工具来实现身份数据管理。

  • 提高IAM产品中数据管理能力的权重和优先级。这会:

o   增加 IAM 数据管理“专业”工具/供应商的数量;例如Radiant Logic 和 Aquera

o   导致优先选择具有数据管理优势的供应商来选择特定的、以市场为中心的解决方案;例如对于 IGA 解决方案选择或 AM 解决方案选择,更重视数据管理能力。

这种转变不会对所有 IAM 计划和功能都“普遍”,因为数据复杂性是每个组织改进数据管理价值的关键驱动因素。鉴于此,在大型、复杂且高度风险敏感的组织中,改进 IAM 数据管理的动力可能最为强烈:

  • IGA 和相关的 IAM 功能,除了基本身份和资源数据之外,还必须处理大型、复杂且维护不良的权限数据集。

  • 同样,授权流程和功能必须处理组织中的权限数据集。

  • 身份威胁检测和响应 (ITDR)、用户和实体行为分析 (UEBA)、云基础设施权限管理 (CIEM) 以及依赖于访问事件数据的任何其他 IAM 功能,访问事件数据是 IAM 学科中容量最大的数据集。

建议:

IAM 功能的购买者应该:

  • 通过提高可见性和可观察性改进的优先级来加速 IAM 数据改进,包括应用可见性、智能、行动 (VIA) 模型来制定优先级决策。

  • 通过完成正式的 IAM 数据设计(包括 IAM 数据字典/数据目录),提高 IAM 计划和产品/服务的有效性。

  • 通过将关键数据管理功能和实践纳入 IAM 解决方案的核心要求来优化其 IAM 技术组合。如果 IAM 供应商解决方案无法提供必要的要求,请与数据和分析团队合作评估通用数据结构和数据管理解决方案。

  • 使用元数据管理成熟度方法来识别额外的高价值增强功能并确定其优先级,从而实现持续的增量 IAM 数据改进。

战略假设:到 2027 年,面临人工智能和数据安全要求的组织将基于策略的访问控制实现标准化,以解锁超过 70% 的数据。

主要发现:

  • 用于人工智能和业务分析的数据产品要求组织部署数据安全控制,利用适合与不断新的角色和用例共享数据的精细和上下文权限。

  • 传统的细粒度数据授权仅基于角色和权限的配置,通常无法扩展。拥有众多消费者的大数据平台中授权规则的过度增长需要新的授权方法来最大限度地提高日常任务的效率。

  • 现代方法是基于 DSP 实施基于策略的数据访问层。这些通过使用基于属性的访问控制 (ABAC)补充传统的基于角色的访问控制 (RBAC) 来实现基于策略的访问控制 (PBAC) 。DSP 可以授权访问和数据目录作为数据治理的真实来源。

  • 策略编排和策略即代码 (PaC) 等新兴机制正在获得动力,为基于策略的授权用例的自动化提供更广泛的覆盖范围和可重复模式。新兴的策略框架——例如开放策略代理(OPA)、身份查询语言(IDQL)和带有 AuthZed 的 SpiceDB——正在实现更多的互操作性,以进一步整合策略管理功能。

市场影响:

数据安全平台和外部化授权管理工具已经采用PBAC来支持授权。通常部署 DSP 来支持 AI/ML 计划的授权。它们通常将数据存储或平台本机的访问控制与可扩展的 PBAC 模型相结合(或替换),该模型提供集中策略管理,同时满足各种用例、组织要求和技术环境。DSP 利用适当的授权架构模式和可用机制(例如 RBAC、ABAC 和策略编排)的组合,并解决依赖关系(例如动态数据发现和元数据管理),以支持数据民主化。这包括与相邻系统集成以建立数据使用上下文和源属性,并提供监控和审计功能。理想情况下,DSP 能够快速创建和调整数据产品。

图 2:DSP 实现的基于策略的数据访问层示例

数据访问层(如图 2 所示)提供三种常见的数据访问模式。其中包括数据平台(增强数据平台的本机访问控制功能)、数据网关(通过数据虚拟化拦截数据流)和数据端点(充当数据可视化工具的查询端点)。

基于 DSP 的基于策略的数据访问层在以下用例和架构中提供最大效果:

  • 治理和保护基于云的数据存储中的结构化数据,以实现基于云的数据和分析(供应商的示例包括 Databricks、Snowflake、Amazon Redshift、Microsoft Azure Data Lake 和 Google BigQuery)。

  • 实现结构化数据的多云数据安全和治理控制。

  • 实现超出底层云数据平台本机访问管理功能的行和列(字段级)访问管理、数据转换或加密。

  • 简化和减少为基于云的数据源配置行和列访问规则所需的策略规则和相关元数据。

建议:

希望实施数据和分析 (D&A) 访问控制来满足策略管理和执行要求并与流行数据目录集成的客户应该:

  • 优先考虑能够与流行数据目录集成并提供字段级或数据对象级粒度授权策略的工具。

  • 思考“一致”:使用 DSP 实施数据授权和安全策略,确保数据访问决策使用相同的身份、资源和策略视图(与所有其他类型的访问决策一样)。

  • 思考“上下文”:通过识别可从哪些来源获取哪些上下文数据并定义动态的上下文感知策略,确保灵活、可扩展和基于风险的访问。

  • 思考“持续”:通过使用持续的风险和信任评估以及在整个会话中应用控制来提高访问决策的效率,而不是使用简单的“门控”决策来让用户进入。

  • 以结果为导向:优先考虑业务目标和共享数据的需求。不要为了创造价值而使解决方案过于复杂。

  • 弥合IAM 团队、数据安全团队和业务计划之间的差距,确保满足组织的安全性、可用性、隐私和规模要求。例如,可以通过促进部署前研讨会来实现这一目标,这些研讨会不特定于任何安全规则,而是特定于组织的战略业务成果。预计可能不会有一个买家角色,而是多个买家。

  • 将治理和合规性规则编入 PaC,以便可以通过自动化工具和更广泛的 PBAC 产品以编程方式强制执行这些规则。

战略假设:到2027 年,70% 的组织将把数据丢失防护和内部风险管理(IRM) 规则与 IAM 环境相结合,以更有效地识别可疑行为。

主要发现:

  • 组织越来越多地从孤立的数据安全技术转向提供集中管理和使用以及更简单的监控共享的整合控制。数据丢失防护 (DLP) 作为一种孤立的控制,主要使用数据元素来采取行动,很少利用数据上下文或用户行为来补充数据检测。

  • 由于范围缩小,DLP 仅揭示了敏感数据暴露带来的部分组织风险。如果作为独立技术实施,它可能会导致告警疲劳、出现操作困难,并且只能提供组织数据安全状况的部分可见性。传统的 DLP 旨在仅识别特定的敏感数据元素,并承诺通过防止未经授权的移动和使用该敏感数据来消除直接风险。

  • 随着组织数据安全用例的发展和数据安全市场的成熟,传统的以数据为中心的解决方案越来越过时。它们正在让位于更全面、以身份为中心的解决方案,这些解决方案可以将用户行为的风险模式与敏感数据的移动和使用相关联,从而为安全和风险管理领导者提供更全面的数据安全态势图。

市场影响:

人们对整合控制的兴趣日益浓厚,促使供应商开发代表以用户行为为中心的控制和数据丢失预防之间重叠的功能。数据丢失防护与IAM上下文的结合引入了一组更全面的协同功能,允许安全从业者创建单一策略,用于数据安全和内部风险缓解双重用途。

一些组织选择放弃不同的安全控制来代替统一的安全结构,将 DLP 上下文与 IAM上下文相结合或集成,以解决数据安全和内部风险管理用例。当这种情况发生时,独立的DLP 产品将变得越来越没有吸引力,尤其是对于精益安全和 IT 团队而言。这些技术控制结合起来可以解决业务中的两类高风险:身份和数据。数据安全控制受到可以从数据和周围环境收集的监控的限制。然而,如果收集到的监控数据可以与IAM 上下文和用户风险指标相结合来补充数据检测,那么就有更多机会准确降低组织风险。参见下图 3。

图 3:组织数据风险

在 DLP 中,利用特定数据元素周围的上下文并将其与身份监控相结合可以提高程序的效率。传统上,DLP 与数据检测隔离,没有考虑围绕用户行为或身份的更广泛背景。由于关注范围狭窄,政策不准确,可能会破坏现有的业务流程,同时无法识别和破坏恶意行为者的其他丑闻行为。通过将以数据为中心的检测与身份监控分层,告警将变得更加准确。

建议:

DLP 和内部风险管理 (IRM) 的买家必须通过以下方式为以身份和数据为中心的组合安全控制做好准备:

  • 识别数据和身份风险,并将它们结合使用作为组织内战略数据安全的主要指令。

  • 向业务领导者介绍集中式或基于 API的IAM、IRM 管理和数据丢失防护的业务优势和好处(而不是障碍)。

  • 评估能够解决多个不同用例的供应商,以提供更全面的功能集,其中包括以身份和数据为中心的控制。

  • 评估能够解决多个不同用例的供应商,作为平台方法的一部分,以获得更全面的功能集,包括以身份和数据为中心的控制。

  • 构建多方面的策略,包括来自 IAM、IRM 和 DLP 监控源的分层检测逻辑。

  • 优先考虑将 IAM 监控引入当前 DLP 和 IRM 平台的产品,作为额外的重要数据源,以降低整个组织的风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/224868.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python等比例缩放图片并修改对应的Labelme标注文件(v2.0)

Python等比例缩放图片并修改对应的Labelme标注文件(v2.0) 前言前提条件相关介绍实验环境Python等比例缩放图片并修改对应的Labelme标注文件Json文件代码实现输出结果 前言 此版代码,相较于Python等比例缩放图片并修改对应的Labelme标注文件&a…

seleniumwire获取页面接口数据

selenium并不支持获取响应的数据,我们可以使用selenium-wire库,selenium-wire扩展了 Selenium 的 Python 绑定,可以访问浏览器发出的底层请求。 编写的代码与 Selenium 的方式相同。 1. 先安装seleniumwire的插件 pip install selenium-wir…

CSS基础面试题

介绍一下标准css盒子模型与低版本IE的盒子模型? 标准盒子模型:宽度内容的宽度(content) border padding margin 低版本IE盒子模型:宽度内容宽度(contentborderpadding) margin box-sizing 属性…

「X」Embedding in NLP|神经网络和语言模型 Embedding 向量入门

在「X」Embedding in NLP 进阶系列中,我们介绍了自然语言处理的基础知识——自然语言中的 Token、N-gram 和词袋语言模型。今天,我们将继续和大家一起“修炼”,深入探讨神经网络语言模型,特别是循环神经网络,并简要了解…

攻防世界——BABYRE

下载好文件,IDA64打开 无脑F12 锁定到right 跟进到了这个函数 很明显关键点就是 我们跟进judge 182个字符 懵逼了,说实话 下面是问了人后 —————————— 其实这是一个函数,一个操作指令 但是我们可以发现 在这里,ju…

IDEA设置查看JDK源码

问题 我们在查看JDK源码时,可能会遇到这种情况,步入底层查看JDK源码时,出现一堆var变量,可读性非常之差,例如笔者最近想看到nio包下的SocketChannelImpl的write方法,结果看到这样一番景象: pu…

CLIP 对比学习 源码理解快速学习

最快的学习方法,理清思路,找视频讲解,看源码逻辑: CLIP 源码讲解 唐宇 输入: 图像-文本成对配对的数据 训练模型的过程(自己理解): 怎么做的?:利用数据内部…

c# 为什么修改Font导致Location 变化

搜索引擎、各种人工智能,只有这个帮我解决了问题 然后我发现了这个 我就奇怪,一行行调试代码,最终发现设置Font,Location就变了,完全想不通

例如,用一个DatabaseRow类型表示一个数据库行(容器),用泛型Column<T>作为它的键

以下是一个简单的示例&#xff0c;演示如何使用泛型的Column<T>作为DatabaseRow的键&#xff0c;表示一个数据库行&#xff08;容器&#xff09;&#xff1a; // 列定义 class Column<T> {private String columnName;private T value;public Column(String column…

spring 笔记七 Spring JdbcTemplate

文章目录 Spring JdbcTemplateJdbcTemplate概述JdbcTemplate开发步骤Spring产生JdbcTemplate对象 Spring JdbcTemplate JdbcTemplate概述 它是spring框架中提供的一个对象&#xff0c;是对原始繁琐的JdbcAPI对象的简单封装。spring框架为我们提供了很多的操作模板类。例如&am…

【深度学习目标检测】七、基于深度学习的火灾烟雾识别(python,目标检测,yolov8)

YOLOv8是一种物体检测算法&#xff0c;是YOLO系列算法的最新版本。 YOLO&#xff08;You Only Look Once&#xff09;是一种实时物体检测算法&#xff0c;其优势在于快速且准确的检测结果。YOLOv8在之前的版本基础上进行了一系列改进和优化&#xff0c;提高了检测速度和准确性。…

【Docker】实战:nginx、redis

▒ 目录 ▒ &#x1f6eb; 导读开发环境 1️⃣ Nginx 拉取 Nginx 镜像nginx.conf启动 Nginx访问 Nginx 2️⃣ redis拉取 Redis 镜像启动 Redis 容器测试 Redis &#x1f4d6; 参考资料 &#x1f6eb; 导读 开发环境 版本号描述文章日期2023-12-15操作系统Win10 - 22H222621.2…

【离线】牛客小白月赛39 G

登录—专业IT笔试面试备考平台_牛客网 题意 思路 考虑离线Bit做法 这种离线Bit&#xff0c;一般都是去考虑二维数点就能写清楚了 确定好两维&#xff1a;x 轴是1 ~ n&#xff0c; y 轴是 k 的大小 然后去遍历值域&#xff0c;如果值域很大的话需要排序离散化&#xff0c;但…

metagpt学习实践

metagpt 官方库目录 一级目录 tree -L 1 -I "__pycache__" . ├── actions ├── _compat.py ├── config.py ├── const.py ├── document_store ├── environment.py ├── __init__.py ├── inspect_module.py ├── learn ├── llm.py ├── …

JVM类加载器的分类以及双亲委派机制

目录 前言 1. 类加载器的分类&#xff1a; 1.1 启动类加载器&#xff08;Bootstrap ClassLoader&#xff09;&#xff1a; 1.2 扩展类加载器&#xff08;Extension ClassLoader&#xff09;&#xff1a; 1.3 应用程序类加载器&#xff08;Application ClassLoader&#xff…

Linux第一个小程序——进度条

Linux第一个小程序——进度条 1. 前言2. 缓冲区概念3. \r && \n4. 进度条实现4.1 初级进度条4.2 升级进度条 1. 前言 在我们写这个小程序之前&#xff0c;我们要用到我们学的三个知识点 gcc的使用vim的使用make/makefile的使用 除此之外还需要一些其他的知识点&…

学习Django从零开始之三

搭建虚拟python环境 搭建开发环境有多种方式&#xff0c;其中包括本地直接安装Python的可执行文件&#xff0c;使用virtualenv&#xff0c;以及使用Anaconda和Miniconda等工具。这些工具在创建Python虚拟环境方面各有特点。具体不同之处感兴趣的同学可以自行查阅相关资料。 简…

IP代理如何影响网站的速度?代理ip服务器有哪些作用?

目录 前言 一、如何影响速度 二、代理服务器的作用 1. 隐藏真实IP地址 2. 绕过访问限制 3. 分布式访问 4. 数据缓存和加速 总结 前言 IP代理是一种通过在用户和目标网站之间引入代理服务器来访问目标网站的方式。代理服务器充当中间人&#xff0c;将用户的请求转发给目…

flyway快速入门基础教程

flyway快速入门 一、flyway是什么&#xff1f;二、flyway使用目的1. 使用原因&#xff1a;2. 举个例子&#xff1a; 三、flyway工作原理四、flyway使用约定和命名规则1. 数据库版本文件整体约定2. 数据库版本文件夹管理约定3. 数据库版本文件命名约定4. 禁止项 五、flyway配置和…

功能测试转向自动化测试 。10 年 心路历程——愿测试人不再迷茫

十年测试心路历程&#xff1a; 由于历史原因&#xff0c;大部分测试人员&#xff0c;最开始接触都是纯功能界面测试&#xff0c;随着工作年限&#xff0c;会接触到一些常用测试工具&#xff0c;比如抓包&#xff0c;数据库&#xff0c;linux 等。 我大学学的计算机专业&#…