剛聽完Gartner的會，與前兩年相比還是有一些變化，又出現了一堆新名詞。我們簡要過一下今年的十大安全項目，并與以往進行一下對比。

1. Securing Your Remote Workforce（遠程辦公安全）疫情讓遠程辦公變成常態，通過ZTNA來保障遠程辦公安全。Gartner認為采用ZTNA會驅動虛擬專用網替代。

2. Risk-Based Vulnerability Management（基于風險的漏洞管理）去年叫符合CARTA方法論的脆弱性管理，今年改叫基于風險的脆弱性管理了。Gartner認為補丁重要性是不同的，應該采用基于風險的方法來管理補丁程序，重點關注具有較高風險的系統和漏洞。

3. Platform Approach to Detection and Response（檢測與響應的平臺方法）去年叫Detection and response，今年多了個平臺化。把眾多安全設備檢測數據集中包括EDR、SWG、CASB、IAM、DLP、NGFW等。然后做數據規范化后，形成數據湖，分析數據相關性，最后通過事件響應、自動化、工作流和APIs實現響應。總結一下就是拓展檢測數據源，提升數據分析能力，最后落實到自動化響應上，這個貌似沒什么新意。

4. Cloud Security Posture Management （云安全配置管理）CSPM是跨IaaS和PaaS來工作的，是對基礎設施安全配置進行分析與管理，這個不是新概念。

5. Simplify Cloud Access Controls（簡化云訪問控制）企業希望能夠在多個云服務中實現中心化策略和治理對于用戶、設備、用戶活動和敏感數據的可見性。

6. DMARC（基于域的消息認證報告和一致性）這個沒聽明白，臨時查的wikipedia，DMARC （Domain-based Message Authentication， Reporting and Conformance）。DMARC是一種使電子郵件發送者和接收者更輕松的方法，確定給定消息是否合法地來自發送者。

7. Passwordless Authentication（無密碼認證）完全消除密碼目前看來還不太可能，但減少對密碼的依賴已經是可行的，可以增加信任并改善用戶體驗。

8. Data Classification and Protection（數據分級與保護）不同用戶分類分級的策略差異比較大，需要組織確定后通過技術來實現。這個國內情況貌似也差不多，分類分級打標簽就是一大難題。

9. Workforce Competencies Assessment（員工能力評估）數字化商業要求我們有合適的人在正確的崗位上扮演正確的角色，擁有正確的技能和能力。看來安全人才缺口是全球性問題。

10. Automating Security Risk Assessments（自動化安全風險評估）只有58%的安全負責人對重要的新項目進行風險評估，自動化風險評估會簡化了IT交付。

責編AJX