所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者，电信运营商的 CIO 需要了解行业面临的挑战，并了解应采用哪些解决方案来实现方法的现代化。

主要发现

• 电信运营商 (CSP) CIO 如果不能调整其安全策略来保护其环境，那么他们将会面临各种漏洞和事件，包括数据泄露。

• CSP 网络安全团队面临一系列云安全挑战和风险。CSP CIO 在寻求建立有效的云安全时需要了解这些挑战。

• CSP CIO 需要采取多管齐下的方法来发展和提高网络安全，包括实施零信任、提高技术人员的技能和优先考虑 API 发现。

• 需要采取额外措施来全面保护 CSP 环境，重点关注自动化、治理和身份控制。

建议

• 通过验证新出现的网络安全挑战、相应地调整安全方法并寻求指导以预测和应对变化，从而保持领先于不断发展的网络安全格局。

• 通过培训保护云环境的人才和评估共享责任模型并优化安全工具，采用云就绪安全方法。

• 利用前沿技术和重新配置安全方法建立有效的网络安全。

• 通过创建涵盖网络、云和整体网络安全最佳实践的综合安全计划，增强云和网络安全。

分析

CSP因其庞大的全球和区域网络及其向客户提供的服务而面临着独特的安全问题。

网络和云安全方面的主要挑战即将出现，并将继续给安全基础设施带来负担——API 漏洞的增加、供应商格局的演变、安全工具的优化（例如 SASE、SD-WAN和SSE的融合）以及随时随地工作——所有这些都对安全设备提出了新的要求。

本说明基于 Gartner 的研究以及 Gartner 2023 年 IT 研讨会/Xpo 的见解，为 CSP CIO 提供了不断变化的云和网络安全格局的动态细节，并介绍了可采用的顶级解决方案，以保护其环境免受这些挑战。CSP CIO 可以使用这项研究来验证自己对新兴网络安全挑战的评估，调整应对这些挑战的方法，并指导他们采取哪些额外措施来应对不断变化的网络安全格局。

利用控制措施和新兴技术建立有效的云安全

有效云安全的五大挑战

CSP 应该意识到云安全的五个核心挑战：

• 攻击面漏洞正在增加。攻击面可能会根据可提取数据的点数而增加或减少。典型的攻击面由于加速等变化而扩大，这导致攻击面漏洞和延迟降低以及边缘环境的扩展。成功的攻击可能导致重大财务损失。云环境中的攻击面通常管理不善、误解、配置错误或被忽略。

• 法规越来越严格。不同司法管辖区之间的法规越来越严格和多样化，使合规变得更加困难和昂贵，甚至给在单一国家运营的企业带来负担。人们对主权环境的兴趣和需求日益增加，以保护司法管辖区内的关键数据。这种动态还导致 CSP 和安全供应商之间产生不确定性，即谁有责任以符合不同司法管辖区的方式保护不同的资产。

• 网络配置的影响范围正在不断扩大。当今的云安全环境是软件定义的，这使得通信网络对软件配置更改越来越敏感。例如，需要清晰地了解云控制管理平面，以提高更改的准确性。因此，CSP 需要重新考虑其方法，认真考虑网络配置决策的潜在影响，同时做出战略性技术决策，以提高整个云生态系统的安全性。

• 企业资产的可视性低得令人担忧。与许多企业和网络安全团队一样，由于资产数量不断增加且变化速度很快，CSP 通常没有其拥有的所有资产的清单。CSP 通常拥有大量旧式设备，他们发现很难使用现代工具跟踪其资产。CSP必须提高监控所有需要保护的资产的能力，因为流动资产会带来安全和数据泄露风险。

• 开发人员的工作自由度过高。开发人员监督通常强调创新而不是谨慎。因此，软件更改导致意外后果的风险大大增加。CSP CIO 应该定义基础设施作为代码（其中可以包括虚拟网络配置）以及开放 API的使用。对开发人员治理、护栏和有效测试的需求将最大限度地降低软件更改对其通信网络安全造成的风险。实施政策护栏将维护安全基线并最大限度地减少不安全行为和滥用。

为了应对这些挑战，降低相关风险并规划前进的道路。CSP CIO 必须实施安全的云就绪方法。

采用云就绪安全方法

默认安全的云就绪方法具有以下两个好处：

• 使网络安全团队能够跟上快速变化的资产、法规和网络配置的影响规模。

• 提高资产的可见性并缩减过多的开发人员自由。

为了成功采用云就绪方法，CSP 需要更加注重培养满足现代云安全需求的人才，并在优化安全工具的同时评估供应商和最终用户之间的共享安全责任（见图1）。

图 1：云就绪方法的三个关键组成部分

在实施云就绪方法时，CSP CIO 需要确保解决以下关键组件：

• 为满足现代云安全需求而培训工程人才至关重要。通信技术人员需要培养云安全框架、云风险管理和云原生方法等方面的能力。这样做将使企业能够更好地满足日益严格的网络安全监管要求。如果培训资源不足，CSP 需要考虑通过第三方或托管安全服务或两者兼而有之来外包安全。

• 评估供应商和最终用户在资产安全方面的责任分担是了解谁做什么的关键。这样的评估使最终用户能够在确切了解哪些资产属于他们的责任后有效地分配资源。这种共同的责任确保双方采取必要的预防措施：供应商通过提供安全的产品和服务，最终用户通过实施适当的安全实践并保持警惕。例如，允许将 SecOps 传输到第三方安全信息和事件管理 (SIEM)提供商以提高可见性而无需额外费用，或者在容器即服务中划定界限。

• 安全工具优化（确保安全工具得到有效和正确的使用）也是云就绪方法的关键要素。例如，CSP CIO 需要确保他们的云原生应用程序保护平台 (CNAPP) 能够在各种云中提供一整套安全机制和监控活动，同时保持云资产的正确配置。CSP CIO 还应优化其 SASE 产品，使其包括：带有一两个明确合作解决方案（SD-WAN 和 SSE）的托管安全访问服务边缘 (MSASE) 、扩展检测和响应 (XDR)、SaaS 安全态势管理 (SSPM)、云安全态势管理 (CSPM) 和云工作负载保护平台 (CWPP) 工具。使用和应用这些安全技术还为 CSP 开辟了更多机会，可以通过这些服务向其最终用户客户组织销售。

实施自动化、治理和身份控制

除了采用云就绪方法外，CSP 还应采取一些其他步骤来应对与攻击面、法规、网络配置、资产可见性和开发人员自由相关的挑战。CSP 应该：

• 自动执行配置验证。这将帮助 CSP 最大限度地减少攻击面漏洞，这些漏洞最常见的原因是配置错误。手动配置检查既耗时又容易出错，而且难以跟上云部署的动态特性。通过自动执行这些检查，组织可以持续确保其云资源（如基础设施即代码）得到安全配置。这包括根据最佳实践验证配置、识别与安全策略的偏差以及通知 IT 团队潜在的安全配置错误。

• 加强治理。CSP CIO 需要与开发人员和工程师合作，建立界限和指导方针。CSP CIO 不应以创新的名义授权开发人员实施实验性代码，而应设置参数，以尽量减少潜在软件可能给企业带来的风险。这意味着要为配置、访问和管理云资源制定明确的政策和程序。有效的云治理包括定义云安全的角色和职责、实施访问控制以及定期监控可疑行为活动。通过实施这些措施，组织可以确保负责任地使用其云环境，最大限度地减少未经授权的访问并遵守相关法规。最终，加强云治理可以提高安全意识，并降低基于云的安全事件的风险。

• 严格控制身份和权限。为了增强云安全性，最好实施零信任方法或至少为外部帐户实施多因素身份验证 (MFA)。如果可以实施零信任方法，请严格验证和授权每个访问请求，建立细粒度的访问控制，强制执行MFA并管理帐户以尽可能保持最小特权访问。这降低了未经授权的访问、数据泄露和内部威胁的风险，确保授权用户对敏感云资源的访问权限有限。限制访问包括制定清晰详细的帐户，说明谁应该在何时访问什么，并定期确保这些控制根据企业的需求保持准确。

• 自动化、治理和身份控制措施将是帮助 CSP CIO 降低安全漏洞风险的关键。虽然 CSP 必须应对新出现的云安全挑战，但网络安全挑战也值得同样关注。

利用前沿技术和重新配置安全方法建立有效的网络安全

有效网络安全的五大挑战

CSP 应意识到网络安全的五个核心挑战（见图 2）。供应商定价模式的演变和技术人员技能差距的扩大是主要问题。无线接入点数量的增加给安全团队带来了负担，而随时随地办公的策略也给现有基础设施带来了压力。此外，随着新攻击方法的出现，新出现的 API 漏洞也带来了风险。应对这些挑战对于最佳实践网络安全和防范不断演变的威胁至关重要。

图 2：有效网络安全的五大挑战

CSP 需要解决网络安全方面的五个核心挑战：

• 供应商定价模式正在发生变化。供应商的整合创造了更复杂的定价格局，使供应商的选择更加复杂。传统的网络安全供应商定价模式正在向基于订阅或按需付费的选项发展，这反映了基于云的安全解决方案的兴起并适应了组织的灵活性。这些模型通过允许组织为其所需的安全服务付费来提供可扩展性和成本效益。然而，评估定价结构和总拥有成本 (TCO) 对于确保网络安全投资的最佳价值至关重要。

• 技术人员的技能差距正在扩大。网络安全技能差距是一项重大挑战。安全供应商的激增也为维护和保护通信网络的技术人员造成了更大的技能差距。Deepwatch 和Cloudflare等供应商正在提供一些最先进、最有效的网络安全解决方案。随着AIOps 平台的出现，这些解决方案可以帮助 CSP 弥合技能差距，同时专注于培训和教育计划以留住最优秀的人才。凭借这些新技能，技术人员可以为组织最重要的安全工作做出贡献。

• 随处办公策略给现有的安全基础设施带来了压力。许多雇主已向员工宣布了永久性的随处办公方案，以进一步支持现代劳动力。CSP 网络安全团队面临的挑战是确保组织的网络继续安全。然而，随处办公会给传统的 CSP 网络安全基础设施带来压力。CSP 遗留系统难以应对不断增加的远程流量和访问公司资源的非托管个人设备。现在，无论工作地点在哪里，无论是公寓大楼、房屋、咖啡店还是办公室，都必须保证安全的网络连接。实施安全策略和保持可见性变得具有挑战性。为了适应，CSP 必须保护远程接入点，实施强大的身份和访问管理(IAM)控制，并考虑使用零信任网络访问 (ZTNA)等工具来实现从任何地方的安全访问。

• 无线终端的激增给网络安全团队带来了负担。部署的无线终端激增导致需要跟踪它们的 CSP 的可见性下降，并且由于攻击面扩大和资源紧张，可能会给网络安全团队带来巨大负担。除非制定主动计划，否则这种趋势将影响 CSP 在不久的将来保护其终端的能力。无线终端将继续部署以满足客户需求，因此需要制定计划来跟踪和保护这些终端。为了提高终端可见性，CSP应该自动发现设备，实施严格的访问控制，并使用网络分段来限制发生违规时的威胁移动。

• 随着新的攻击方法不断形成，新兴的 API 漏洞对 CSP 来说是一种特殊风险。现代 API 存在巨大的数据泄露风险。一旦成功利用，这些漏洞可能会导致数百万条记录被盗，并造成巨额财务损失。这已成为 CSP 在其自身网络中日益担忧的问题 — API 为攻击者提供了新的数据攻击方式，使客户隐私和运营稳定性面临风险。传统的安全措施可能不足以应对这些风险。CSP 需要通过实施强身份验证、持续监控威胁和随时了解 API 漏洞来优先考虑 API 安全。采取主动措施将有助于保护基础设施并维护客户信任。

实施零信任，提升工程师技能并优先考虑 API 发现

CSP CIO 应执行以下操作来保护其通信网络的安全：

• 实施零信任安全态势。在实施零信任时，77% 的公司认为要么利用现有技术的组合，要么利用现有技术和新技术的组合，23% 的公司投资购买新的零信任产品。鉴于这一发现，CSP 应考虑采用采用正确技术组合的多供应商解决方案。多供应商方法支持零信任解决方案策略，该策略将适用于可能是小众用例的其他实施。

• 确保工程师掌握必要的技能。工程师需要具备与供应商沟通的技能，这些供应商将为零信任安全态势等实施提供关键的安全解决方案。随着整合重塑供应商市场，CSP 必须积极培训工程师掌握在不久的将来需要的供应商特定技能。

• 重新配置安全方法以保护工作负载和最终用户。重新配置对于在混合工作环境中充分保护工作负载和最终用户是必要的。CSP 需要利用多个网络安全执行点，包括硬件、代理、软件、本地、服务、混合和云交付执行点。

• 在 API 安全策略中，优先考虑发现。太多 API 是未知的、被忽视的或未被跟踪的。虽然 CSP 需要采取其他战略措施来确保 API 安全，但首要任务必须是发现 — 即找到所有 API。

保护现代云和网络环境的其他建议

除了有针对性的云和网络安全建议外，CSP 还应采取一些其他高级步骤，以全面保护其现代云和网络环境。为了进一步为组织做好应对未来安全需求和威胁的准备，CSP 应：

• 采用网络安全网格架构 (CSMA)可大幅减少安全事件的财务影响。实施 CMSA 将使 CSP 受益于增强的安全态势、改进的威胁检测、可扩展性和敏捷性。有关 CSMA 的更多指导。

• 实践持续威胁暴露管理 (CTEM)，以缓解攻击面漏洞和API 来源漏洞，并提高企业资产的可见性。

• 构建身份结构免疫力，有效保护 IAM 资产。这一过程对于 CSP 来说必不可少，可帮助他们领先于快速发展的资产以及通信网络配置变化带来的越来越大的影响。

• 通过整合平台降低云和网络的复杂性。平台整合策略有助于减少API、攻击面和无线终端的安全风险。但是，供应商融合/平台整合也存在一些挑战，例如，为融合但价格较低的套装平台接受质量较差的工具。CSP 应注意不要过度整合，以避免供应商锁定和定价过高的风险，尤其是基于订阅的定价。此策略与 CSMA 相结合，有助于减轻一些潜在风险。

• 通过转变网络安全运营模式，最大限度地提高网络安全的商业价值。CSP需要将风险决策权推给企业内部的风险所有者，采用与业务优先级相关的结果驱动指标，并在业务技术人员的工作地点和工作方式与他们会面。这一策略将使 CSP 能够根据混合工作和日益严格的法规的需求调整其网络安全运营。

• 采用以人为本的安全设计，提高网络安全对企业的价值，降低网络事件的风险。优先考虑最终用户体验将使企业能够解决混合工作的安全问题，以及各种其他新兴安全趋势。