Gartner 看2024資安趨勢 須密切注意生成式 AI 技術演進

Gartner公司於近日發布2024年網路安全重要趨勢。根據研究，推動2024年主要網路安全趨勢的因素包括生成式人工智慧（生成式AI）、持續威脅暴露、協力廠商風險、隱私驅動的應用和資料解耦和網路安全技能重塑等。

Gartner研究總監陳延全表示，企業安全職能在技術、組織和人員方面面臨徹底變革。安全與風險管理領導者必須進行完善的準備工作並採取務實的態度，以應對持續演進的技術革新與監管環境，實施高效的網路安全專案。

為了應對這些因素的綜合影響，2024年安全與風險管理領導者需要在其安全計畫中採取一系列實踐方法、技術功能和結構改革，以此提高企業機構的韌性和網路安全績效。

Gartner提出九項重要產生廣泛影響的趨勢。包括對這些領域產生廣泛影響。

趨勢一，持續威脅暴露面管理專案展現強勁態勢，Gartner預測，到2026年，通過持續威脅暴露面管理專案確定安全投資優先順序的企業機構，其安全性漏洞將減少三分之二。

趨勢二，改善身分與存取管理實踐，發揮提升網路安全成果方面的作用。在身分優先的安全方法中，利用身分管理與存取管理（IAM）取代網路安全暨其他傳統的安全控制措施成為了安全工作的重點。採取身分優先安全性原則的企業機構，必須加強對基本的IAM規範以及IAM系統強化的關注，以提升韌性。

趨勢三，以韌性為導向、資源效率更高的協力廠商網路安全風險管理。隨著協力廠商遭遇網路安全事件變得不可避免，安全與風險管理領導者不得不將注意力從涉及大量前期投入的盡職調查轉向了以韌性為導向的安全投資。風險管理領導者已將旨在提升韌性的工作活動列為優先事項，例如實施補償性控制措施和加強事件回應規劃等。並為業務合作夥伴提供有針對性的支持，以幫助其優化與協力廠商的合作，並且影響與安全控制相關的決策。

趨勢四，隱私驅動的應用和資料解耦，在碎片化的世界中優化運營，Gartner預測，到2025年，10%的全球企業將擁有一個以上受特定資料主權戰略約束的業務單位，從而使創造相同業務價值的成本增加至少一倍。

趨勢五，生成式人工智慧（GenAI）引發短期疑慮，但同時也點燃了長期希望。GenAI引入了新的攻擊面，為提供相關防護，企業機構必須對應用和資料安全實踐以及使用者監控進行變革。到2025年，GenAI的採用將導致企業機構所需的網路安全資源激增，從而使應用和資料安全支出增加15%以上。Gartner指出，ChatGPT等大語言模型應用的興起只是GenAI顛覆浪潮的開端，安全與風險管理領導者還需要就該技術的快速演進做好應對準備。

趨勢六，安全行為與文化專案在降低人為網路安全風險方面的作用受到熱切關注，因只關注員工網路安全意識提升的普遍做法，對於減少員工行為導致的安全事件效果甚微。

趨勢七，網路安全成果驅動型指標（ODM）是包含特殊屬性的安全運營指標，可以幫助利益相關者在安全投資與其所能實現的保護等級之間建立直接關聯，助力安全領導者有效傳達網路安全價值。

趨勢八，安全工作的決策權日益分散化，安全性原則的細節逐漸交由邊緣側的業務決策者負責，針對部分治理工作建立了集中和正式的治理機制，以更好地支持業務部門的風險負責人；安全與風險管理領導者的角色也正在從控制措施管理者向價值推動者演變。

趨勢九：重塑網路安全技能，助力企業機構應對未來風險，預估到2026年，50%的大型企業將使用敏捷學習作為主要的技能提升/重塑方法。新技能需求的增長速度將會超過新角色、新資格認證、新職位描述和新職位名稱的創建速度。換言之，依靠學習型和發展型解決方案、招聘平臺以及人力資源實踐，將無法及時滿足網路安全的技能需求。

網路安全團隊需要圍繞敏捷學習改善學習和發展計畫，並基於敏捷學習通過反覆演練和短期突擊來優先發展實踐技能。