Gartner发布2024年网络风险管理成熟度曲线：使网络安全战略与业务目标保持一致的概念、方法、流程和技术

网络风险管理现在是高管和监管机构最关注的问题，它采用多种方法和技术来支持治理、风险管理和合规性。安全和风险管理领导者可以使用此技术成熟度曲线来评估解决方案并做出适当的采用决策。

战略规划假设

到 2026 年，60% 的网络安全职能将实施以业务影响为重点的风险评估方法，使网络安全战略与组织目标保持一致。

到 2027 年，由于与网络事件管理相关的个人法律风险不断增加，全球 40% 的组织将为网络安全领导者提供董事和高管(D&O) 保险。

需要知道的

安全和风险管理 (SRM) 领导者继续寻求利用创新和维持可接受的网络风险水平之间的平衡。新技术发展，尤其是人工智能，既可以成为网络安全风险，也可以成为加强该学科的宝贵工具。

事实上，人工智能在网络风险管理中的快速应用是 2023 年和 2024 年的一个重大变化。监管机构和高管们也同样迅速地做出了反应，试图建立应对破坏性影响的护栏。

SRM 领导者必须不断完善其网络风险管理实践，以满足业务需求，集成流程自动化并利用高级工具智能带来的机会。他们正在通过以下方式改进其网络风险管理计划：

• 优先考虑业务影响和结果导向。他们将网络安全战略与业务目标相结合，从而推动价值创造，并确保网络安全工作直接为组织的盈利做出贡献。

• 实施自适应风险识别和评估策略，以跟上快速变化的技术和商业环境。

• 利用专为网络风险管理设计的先进工具。这些工具包括近实时监控系统、资源密集型流程的自动化以及以影响为重点的风险评估方法。

• 在采用技术与减少网络安全相关业务摩擦之间取得平衡，确保技术进步和安全运营。

炒作周期

本技术成熟度曲线概述了组织如何利用概念、方法、流程和技术解决方案来管理网络风险并利用与风险相关的机会。组织必须调整其网络风险管理方法，并使网络安全战略与业务目标保持一致，优先考虑业务影响和结果导向。这种调整对于应对不断变化的业务影响、监管环境和国际关系是必不可少的。

业务影响（例如财务损失、运营中断或声誉受损）会极大地影响网络风险的管理方式。技术成熟度曲线提供的见解有助于通过明确界定的第二道防线实现成功的数字业务成果。

技术成熟度曲线上的战略创新不仅提升了网络风险管理的价值，而且还确保网络安全工作直接有助于组织的底线，从而促进安全高效的数字化商业环境。

今年，技术成熟度曲线有以下值得注意的新增内容和发展：

• 增加了威胁暴露管理，基于持续威胁暴露管理 (CTEM) 目标，使企业能够动员起来应对最相关的风险。

• 添加了网络治理、风险和合规性 (Cyber GRC)，以反映 GRC 管理不断发展的格局，强调专业解决方案。这种整合旨在通过明确供应商产品来简化购买流程。虽然一些供应商专注于网络 GRC 或保证 GRC（企业风险管理合规性和审计），但其他供应商则提供跨多个 GRC 领域的综合平台。

• 网络安全项目绩效管理 (CPPM) 是为了响应安全管理的变化而增加的。它强调项目管理和业务协调，以便为整体安全相关决策提供信息。

• 添加了网络风险管理中的人工智能和人工智能 TRiSM，以反映人工智能发明引起的快速变化。

• 增加了 SaaS 安全和 SaaS 安全态势管理，强调了云采用的重要性及其对网络风险管理的后果影响。

• 增加了数据安全治理、数据安全态势管理和数据风险评估，强调了将数据相关风险纳入网络安全风险管理视角的重要性。

• 动态风险管理回归到创新触发点，基于最近的洞察。目前，只有大型金融服务机构正在积极探索这一概念，其他机构还处于早期阶段。

图 1：2024 年网络风险管理成熟度曲线

优先级矩阵

优先级矩阵将每项创新或技术的影响力评级与该创新或技术获得主流采用所需的时间进行了映射。影响力评级表明了创新或技术的潜力，但该评级可能并不适用于所有行业和组织。

此技术成熟度曲线中描述的某些创新和技术可能有多种用例。要确定某项技术是否会对您的行业和组织产生重大影响，请探索每个用例。通过仔细考虑收益评级、用例、成熟度级别、市场需求、成本效益以及技术与您现有技术和技术组合的兼容性来确定创新和技术的优先级。

对网络风险管理的投资从战略上解决了网络风险和合规性要求。虽然这些好处是巨大的，但它们通常不会产生即时或直接可计算的投资回报，尽管某些领域可能会产生长期的转型影响。真正的价值在于保护业务、保护数字资产、确保合规性和增强弹性——所有这些对于长期运营连续性和战略目标都至关重要。

持续控制监控等一些创新和技术可以帮助获得近乎实时且相关的网络风险洞察，同时减少资源限制。网络风险量化和供应链网络安全等其他技术则可提供有关业务影响、运营弹性和合规性的更多洞察。

表1 ：2024 年网络风险管理优先级矩阵

影响力	距离主流采用的时间
	不到 2 年	2 - 5年	5 - 10 年	超过 10 年
颠覆		网络治理、风险与合规 数据安全治理	人工智能在网络风险管理中的应用 数据风险评估 数据安全态势管理 FinDRA 组织韧性 威胁暴露管理
较高		AI TRiSM 网络风险量化 网络安全持续合规自动化 环境、社会及管治 隐私影响评估 供应链网络安全 威胁建模自动化	持续控制监测 网络安全项目绩效管理 SaaS 安全	互联治理
中等	安全评级服务	数字风险保护服务 IT 供应商风险管理	CPS风险管理 网络安全人工智能助手 风险管理关键控制指标 SaaS 安全态势管理	动态风险治理
偏低

来源：Gartner（2024 年 7 月）

脱离炒作周期

以下创新在今年被替换或删除：

• 业务连续性管理计划 (BCMP) 解决方案已被组织弹性所取代。

• 持续合规自动化被网络安全持续合规自动化所取代。

• 生成式网络安全人工智能被网络安全人工智能助手所取代。

• 供应链风险管理被供应链网络安全取代。

• 数据分类被数据风险评估取代，以符合网络风险管理。

• 网络物理系统被删除，因为网络风险管理的链接反映在 CPS 风险管理中。

• 危险/威胁情报服务、安全服务边缘和网络资产攻击面管理 ( CAASM ) 被删除，因为它们与一线安全运营更相关，并在2024 年安全运营技术成熟度曲线中得到解决。取而代之的是添加了威胁暴露管理。

• 网络安全成熟度评估和IT风险管理（ITRM ）解决方案已被取消，因为它们已经达到了生产成熟期。

技术萌芽期

1、动态风险治理

影响力评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：新兴

定义：动态风险管理 (DRG) 为三道防线 (3LOD) 结构下典型的基于角色的风险管理功能提供了一种替代方案。在 DRG 中，风险管理不是基于角色的。相反，风险保障活动旨在通过协作实现所需的风险管理强度。

为什么重要

3LOD 的僵化和孤立性使得管理风险格局的速度和复杂性变得困难。DRG提供了一个框架，使风险保障活动的强度与风险偏好和战略机遇保持一致。由于风险保障活动不是基于角色的，因此各职能部门可以协作以减轻保障疲劳，向决策者提供更一致的风险观点，并优化用于风险管理的资源。

商业冲击

DRG 通过提高协作和敏捷性，使风险和保证功能（如信息安全和合规性）受益。它减少了通常与脱节的保证工作相关的保证疲劳。DRG 通过将风险偏好和容忍度应用于风险治理决策，促进风险管理与战略保持一致。由于 DRG 不是基于角色的，因此在受监管银行中的应用有限。在这种情况下，本地化方法仍然有效。

驱动因素

• 虽然风险格局在过去几年发生了巨大变化，但风险管理模式却没有变化。虽然风险已经变得动态化和数字化，但风险管理仍然过于僵化和千篇一律。这使得 DRG 成为必要，以使风险管理对企业更有意义。

• 随着组织变得越来越复杂，风险也变得越来越相互关联。当今最大的组织风险，如供应链、网络安全和第三方风险，都涉及组织的大部分领域。

• 组织数字化程度的提高导致了勒索软件等全新、完全数字化风险的产生，也增加了第三方风险等其他风险的速度和波动性。风险性质的变化越来越频繁、越来越快。

• 人工智能模型、应用和生成式人工智能的采用将导致组织发生快速变化，产生新的风险并影响组织中的许多关键风险。这包括网络安全风险、欺诈风险和竞争对手风险。

障碍

• 共享风险数据、信息和分析有限可能会阻碍 DRG 的实施。支持 DRG 的平台（如治理、风险和合规 (GRC) 工具）正在不断发展，但仍缺乏采用和全面实施。

• 常用的风险管理技术虽然有助于实现支持 DRG 所需的数据共享，但往往缺乏支持关键方面的功能。例如，许多 GRC工具很难跟踪和可视化哪些团队正在执行风险管理和保证的特定方面。

• 实施 DRG 所需的风险管理和保证职能的敏捷性和成熟度是相当重要的。所需的敏捷性可能会让习惯于更审慎流程的领导者感到焦虑。

• 银行监管机构要求三道防线的保证功能基于角色，这限制了各功能协作和以动态方式分配风险保证活动的能力。

2、人工智能在网络风险管理中的应用

影响力评级：颠覆

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：网络风险管理中的人工智能优化了评估和监控流程，并改善了实时通信。其功能包括增强控制实施；识别缺陷并触发调整；通过持续检查合规性、发现潜在问题并提出行动建议来进行风险监控；网络安全框架映射；以及通过收集和分析网络风险数据进行风险报告，以便做出明智的决策和进行有效的监督。

为什么重要

网络风险管理工具中的人工智能功能：

• 实现自动化和流程增强

• 识别安全控制中的漏洞

• 解释控制实施语句

• 制定政策草案

• 地图控件

• 支持聊天机器人

• 收集并分析网络风险数据以获得见解和决策

供应商和早期采用者的日益关注加速了这些 AI 功能的成熟。采用这些工具的组织可能会显著提高其流程的效率，增强其网络安全防御能力，并更好地应对复杂且不断变化的网络风险形势。

商业冲击

• 人工智能通过简化网络风险管理流程（例如评估、合规报告和事件响应）来提高效率。它减少了对人工干预的需求并节省了时间和资源。

• 人工智能算法通过分析各种数据源（包括网络流量、用户行为和系统漏洞）来全面评估网络风险。这种整体方法使组织能够有效地识别和确定风险的优先级，从而优化资源分配和决策过程。

驱动因素

AI 算法擅长处理和分析大量数据集，并正在引起需要其能力来提取见解和识别网络威胁模式的组织的关注。Gartner 已确认的主要 AI 用例包括：

• 根据控制要求和风险偏好自动识别和分类现有的安全控制

• 全面分析策略控制差距以及与行业标准或监管要求的差异，并提出补救措施建议

• 持续识别网络风险动态，包括进行模拟以了解对组织环境的潜在影响

• 对网络风险进行优先排序和评估，并推荐标准化的最佳实践缓解措施

• 持续监控内部合规性，确保符合现有和不断发展的法规

• 根据不断变化的法规、行业标准和与业务相关的新兴威胁，动态地调整角色的策略要求并更新安全策略

• 将业务工件与自然语言处理活动结合起来，以确保安全措施与业务目标保持一致，并确保政策具有明确的所有权和控制描述和关系

• 使用预测分析来制定战略网络安全计划，分析外部行业趋势和内部历史数据和风险评估，以预测未来风险并创建安全改进路线图

• 通过预测分析对网络安全预算进行战略预测，使用有关新兴威胁、组织数据和行业趋势的数据来预测未来风险并提出最佳的下一步行动和最佳安全投资

• 创建动态、定制的执行仪表板，实时洞察组织的网络安全态势

障碍

• 许多组织缺乏对网络风险管理中的人工智能技术的基本了解。

• AI 算法依赖于高质量的数据。许多组织都在努力解决数据质量问题。访问用于训练 AI 模型的数据源也具有挑战性，特别是在受监管的行业或数据流更受限制的环境中。AI 驱动的网络风险管理解决方案通常需要访问敏感数据，例如网络日志、用户行为模式和安全事件报告，这会带来隐私和安全问题。

• 人工智能算法容易受到用于训练的数据中固有的偏见或完全相关性的影响，从而导致不准确的建议。这导致风险所有者和网络风险团队对信任和进一步采用这些技术犹豫不决。

• 成本是一个障碍，特别是对于 IT 能力有限的中小型组织而言。

• 组织文化可能会阻碍新技术的采用。员工可能会抵制新技术，担心工作被取代或既定工作流程发生变化。

3、互联治理

影响力评级：高

市场渗透率：不到目标受众的 1%

成熟度：孵化

定义：互联治理是一种框架，用于在多个地区建立跨组织和业务职能或法人实体的虚拟治理层，以实现跨企业业务成果。通过连接企业内部和跨企业的现有治理机构，其基于组件的方法可以解决复杂的业务挑战，而无需增加更多官僚机构。

为什么重要

人力资源、风险、数据和分析等企业职能的治理机构通常足以解决其各自的领域问题。然而，跨企业和企业间治理挑战越来越难以克服。互联治理不是再创建一个永久性治理机构，而是通过虚拟框架利用现有治理机构，以最少的额外开销提供战略监督和问责管理。

商业冲击

跨组织、法人实体和地区的高级企业高管和董事会成员将受益于探索互联治理，以解决跨企业战略问题和机遇。 预计进行并购 (M&A) 的组织将发现互联治理的价值，它能够更早地解决价值和风险管理问题，并允许在正式采用之前对治理机构进行试验。

驱动因素

• 数字化的快速发展和地缘政治风险的上升给多个业务职能的高层领导带来了压力，他们必须以超出现有能力的更高效率和速度来满足业务和监管需求。

• 现有的治理机构旨在解决其职能领域，但要理解这些领域的责任和决策权却非常困难。当某些职能领域存在于不同的法人实体和不同的国家，并且同一业务资产可能受到相互冲突的治理政策的影响时，这一点尤其重要。

• 采用互联治理的一个关键驱动因素是现有方法的局限性。应对跨企业治理挑战的传统方法涉及建立另一层治理，这会增加更多的管理成本，产生另一层官僚作风，而且往往缺乏灵活性。

• 有些战略挑战（如并购和业务模式变更）需要一次性的治理响应，在这种情况下创建额外的治理层级会过度浪费高管的时间，且不会产生任何收益。因此，采用关联治理成为一种有吸引力的选择。

障碍

• 互联治理利用现有的治理机构，但其中一些机构可能运作不佳。因此，在治理尚不成熟的组织中，互联治理所提供的价值可能会被耗尽。

• 孤立的治理工作可能会强化这些孤岛，并阻碍在没有破坏性组织变革的情况下实现互联治理的好处。无论哪种方式，孤立治理的惯性和局部成功都会减缓互联治理的采用。

• 一旦董事会或执行委员会批准了跨治理计划，就需要一位执行领导来制定跨治理响应。然而，这需要战略治理办公室（无论是专门的还是综合的）的支持和协助，而这需要目前短缺的技能。

4、CPS风险管理

影响力评级：中等

市场渗透率：目标受众的 1% 至 5%

成熟度：孵化

定义：网络物理系统 (CPS) 风险管理可确保有效管理 CPS 特有的安全风险。由于 CPS 将网络和物理世界连接起来，因此大大扩大了组织的威胁范围和后果，无论这些威胁来自信息技术/运营技术 (IT/OT) 连接、物联网 (IoT)、工业物联网还是智能“X”程序。因此，在风险管理方面，它们需要特别关注。

为什么重要

CPS部署在关键基础设施、智能电网、智能建筑或自动驾驶汽车中，也是制造业、物联网和工业物联网技术的核心。它们代表了物理和数字系统的融合，用于连接人员、数据和流程，但也模糊了网络风险和物理风险之间的界限。不幸的是，“先入市场”历来优先于“设计安全”，而且由于 CPS 充满漏洞，攻击者越来越多地将其作为攻击目标。

商业冲击

与主要处理数据的企业 IT 系统不同，CPS连接网络和物理世界，通常部署在运营或任务关键型环境中。这意味着 CPS 风险管理工作需要关注人员安全和运营弹性，而不是传统的信息风险管理工作，因为事件可能影响物理系统和组织的底线或使命。

驱动因素

• CPS正在改变每个行业，无论是通过协调以前断开的系统之间的数据流、自动化流程、缩短生产周期、提高产品和服务质量，还是促进实时信息收集和处理。

• 许多CPS 在设计和部署时仍未考虑到强大的安全性。

• 遗留系统经常会达到支持终止状态而无法更新。

• 由于 CPS连接网络和物理世界，风险管理在生产和任务关键型行业中尤为重要。随着风险视角扩展到物理层面，必须解决对物理边界破坏、干扰、黑客攻击、欺骗、篡改、命令入侵或植入物理资产的恶意软件的担忧。

• 过去几年，从企业 IT 系统横向移动的攻击显著增加，影响制造业和关键基础设施组织的运营和生产环境。由于这些领域通常是创造价值的地方，因此 CPS 将继续成为攻击目标。

• 过去几年，CPS 组件（例如实时操作系统 (RTOS)）中披露的漏洞数量也显著增加。随着越来越多的安全研究人员关注 CPS，将会披露更多漏洞，从而提供更多攻击媒介。

• 由于 CPS 导致的攻击面增加，推动了法规、指令、框架和标准的增加。

• 成功攻击 CPS 的后果可能远远超出以网络安全为中心的数据丢失，还包括运营停止、环境影响、财产和设备的损坏和毁坏，甚至健康和人身安全风险。

• 越来越多的供应商推出 CPS 网络风险量化平台。

• 与传统 OT 中的专有平台相比，CPS 中使用 Raspberry Pi 等更简单的平台降低了攻击者的障碍。

• 现有和新兴的合规性要求。

障碍

• 业务部门通常会部署 CPS，而无需与 IT 或安全团队协商。

• 安全学科（例如网络安全、供应链安全）通常在功能上是孤立的，而有效的 CPS 风险管理要求它们围绕以资产为中心的安全视角进行融合（而不是传统的以网络为中心的 OT 安全，主要关注分段和防火墙）。

• 大多数组织仍然主要关注以 IT 安全为中心的风险管理。

• 缺乏在运营或关键任务环境中进行风险评估和缓解措施的技能。

• 采购决策者可能没有意识到网络物理风险，或者可能优先考虑成本和速度而不是风险，尤其是当物理风险似乎是理论上的时候。

5、数据安全态势管理

影响力评级：转型

市场渗透率：不到目标受众的 1%

成熟度：孵化

定义：数据安全态势管理 (DSPM) 可发现跨存储平台和服务的数据和以前未知的（影子）数据，无论其位于何处以及如何保护。DSPM 可以判断这些数据在流经架构到用户和应用程序时是否暴露于不适当的访问或目的地。

为什么重要

组织需要一种方法来识别和关联快速扩展的架构中的数据风险。DSPM 可识别由数据驻留、隐私和安全威胁导致的数据风险，因为它提供了对数据资产的必要可见性。这可以实现更好的数据分类和分类一致性，因为它可以跟踪数据在架构中流动时的数据沿袭。

商业冲击

DSPM能够以独特的方式分析数据流，从而为因数据驻留、用户访问和不合规而导致的业务风险提供关键见解。然后，DSPM 评估如何在存储数据的所有位置应用数据安全策略。它以独特的方式使组织能够快速、自主地识别和缓解相关业务风险，而不受数据部署速度、复杂性、动态性和规模的影响。

驱动因素

• 国际法规的增长产生了对能够评估数据安全风险以及数据驻留和主权风险的工具的需求。

• 组织希望通过识别不当数据暴露、错误配置和缺失安全控制来验证其安全态势。DSPM 通过结合数据可观察性功能（例如实时查看数据流）来帮助实现此目标，以发现数据风险和不合规情况。

• 数据处理、备份过程、冗余存储、测试数据、人工智能以及跨云服务提供商的数据流和服务的变化可能会创建各种临时数据存储库，因为数据是未知的、未被发现的或未被识别的。

• 需要全面了解组织拥有的重要数据以及这些数据如何扩散。过去，这是一个复杂的过程，因为传统的数据安全以及身份和访问管理产品无法实现这一点，而且其运作方式是孤立的。

• 组织需要确定谁可以访问数据集、数据集通过哪些路径或 AI 数据管道移动，以及特定用户或应用程序可以访问哪些特定数据集。DSPM 通过数据映射实现这一点。

• 为了实现一致的数据分类，组织需要跨结构化、半结构化和非结构化格式以及跨所有潜在数据位置映射和跟踪数据演变和沿袭。

• 需要保护数据免受第三方和不适当的内部人员的侵害（例如，通过云配置错误、影子 IT应用程序、过度的访问权限或由于地理位置和数据访问路径而产生的数据驻留风险）。

障碍

• 扫描整个基础设施的数据可能需要几天才能完成。

• 每个 DSPM 产品都只能与特定的安全控制集成才能实现补救。

• DSPM 有时作为数据安全产品套件中的一项功能提供，例如数据访问治理、数据库活动监控、数据防泄露、数据检测和响应以及加密，并且不会与其他供应商产品集成。

• 每种DSPM 产品都具有不同的能力，可以映射用户访问权限，识别、发现和跟踪本地、云服务和终端之间的数据，以及识别相关风险。组织在实现一致的产品功能方面面临困难。

6、网络安全项目绩效管理

影响力评级：高

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：CPPM 涉及两项与业务目标相符的相关活动：持续评估网络安全功能和制定改进战略规划。它使用网络防御规划和优化 (CDPO)、自动安全控制评估 (ASCA) 和网络安全性能测量。CPPM 有助于规划安全计划并减少控制、流程、操作和缓解能力的冗余。它还可以预测网络风险管理的最佳行动和投资。

为什么重要

网络安全计划绩效管理（CPPM）：

• 通过确保资源配置来优化投资，并在确定投资关键领域的同时最大化投资回报率

• 提高财务透明度和预算优先级，促进基于风险、价值和成本优化的明智决策

• 与业务目标保持一致并提倡以结果为导向的方法

• 通过提供一致的绩效报告和增强防御能力来满足利益相关者的期望

• 建立情景规划流程，进行“假设”分析和风险预测

商业冲击

CPPM可以帮助组织：

• 展示以业务成果为导向的网络安全计划方法

• 根据业务需求优化资源使用，同时提高防御能力

• 促进业务成果和保护级别协议的持续改进

• 规划并实施适当的政策和控制，以优化业务弹性，即快速适应业务、技术和威胁环境变化的能力

驱动因素

• 董事会和监管机构越来越多地要求对网络安全计划的绩效进行加强、一致和持续的报告，以协助在发生重大网络安全事件时提供防御能力。

• 内部利益相关者和高管需要从网络安全计划中了解投资回报率并提高财务管理透明度，包括关注成本优化。

• 采用 CPPM 解决了严格、不灵活的安全计划无法适应外部压力的问题，例如潜在的经济变化、数字化、技术进步和不断变化的监管环境以及供应链要求。

• 过度依赖恐慌统计数据和夸大的风险敞口等负面叙述，削弱了事实风险分析对投资决策的影响。

• 组织机构要求采取更主动的网络安全方法，摆脱纯粹的被动态度，在情景规划和保护级别协议中预测和减轻潜在风险。

障碍

• 许多行业标准和框架强调控制实施，但在衡量绩效和交付方面提供的指导有限。

• 当前的网络安全指标主要表明运营结果，对保护级别、网络风险降低或网络安全工作对业务的影响提供的洞察有限。

• 新兴工具集面临着与更广泛的治理、风险与合规 (GRC) 或网络 GRC 解决方案进行区分的挑战。分散的产品和重叠的功能使潜在买家的决策过程变得复杂。

• 攻击面和第三方依赖性的快速演变的复杂性对维护当前有效的网络安全措施和准确反映安全态势的指标提出了重大挑战。

• 利益相关者通常对网络安全计划的重要性缺乏了解或认识。技术指标造成的疲劳会影响为这些计划获取必要资源和支持的意愿。

7、SaaS 安全态势管理

影响力评级：中等

市场渗透率：目标受众的 1% 至 5%

成熟度：成长

定义：SaaS 安全态势管理 (SSPM) 工具持续评估 SaaS 应用程序的安全态势和相关安全风险。SSPM 工具提供一系列功能，例如报告和建议改进 SaaS 配置、管理身份权限以及识别互连的 SaaS 应用程序。一些工具还提供与行业框架的比较、数据可见性以及集中、分散或自动化补救措施。

为什么重要

SaaS 是许多关键企业应用程序的交付模式，因此重要的业务资产和信息存在于企业网络的传统控制之外。这些应用程序及其互连（通常与其他 SaaS 应用程序互连）的配置和安全管理越来越复杂，而这个问题又因每个应用程序都不同且通常在 IT 之外进行管理而变得更加复杂。

商业冲击

SaaS 的使用范围广泛且不断增长。安全服务边缘 (SSE) 和安全访问服务边缘 (SASE) 供应商提供对敏感数据和用户对 SaaS 应用程序的访问的保护，但通常对复杂的配置错误和 SaaS 到 SaaS 通信视而不见。SSPM 工具通过持续扫描和减少配置错误、SaaS 插件和附加组件、可疑的 SaaS 到 SaaS 通信以及范围过大的权限，降低了常见的 SaaS 风险。

驱动因素

• 随着越来越多的业务关键流程依赖于 SaaS，攻击者越来越多地瞄准这些应用程序。SaaS 漏洞的主要来源是配置失败、令牌被盗或身份凭证被盗。相比之下，它成为主要平台的潜在缺陷的情况更为罕见（尽管影响巨大）。

• SaaS 的普及度、复杂性和互联性不断提高，在越来越重要的应用程序中产生了盲点（例如，不受保护的连接应用程序可能能够以最低限度的限制访问数据）和控制漏洞（特别是关于 SaaS 配置） 。传统控制甚至 SSE 控制都无法有效地管理和缓解这些漏洞。在这种情况下，SSPM 工具提供了必要的可见性和保护。

• SaaS 应用程序通常支持最终用户可能安装的插件；这些插件及其影响的可见性变得越来越重要。

• 监管越来越严格，对数据泄露处以高额罚款。监管机构开始关注 SaaS 应用程序，例如网络安全和基础设施安全局 (CISA) 针对 SaaS 的参考架构、安全云业务应用程序 (SCuBA)。

• SaaS 并非“简单的服务”。使用 SaaS 应用程序很容易，但配置却很复杂。试图通过手动流程控制 SaaS 无法扩展。为了实现有效控制，必须提高配置、验证和补救的自动化程度。

障碍

• SASE 和 SSE 平台内的 SSPM 特性和功能的重叠和整合日益增加，很少有组织希望使用另一个控制台来管理另一组云。

• 许多企业缺乏对 SaaS 安全性的关注，也缺乏负责 SaaS 安全性的职位，因此缺乏 SSPM 的买家。SaaS 的获取和配置通常由企业而不是 IT 部门负责。

• 大多数当前的 SSPM 工具缺乏强大的发现功能，因此它们依赖替代工具（例如 SSE、下一代防火墙或端点工具）来识别整个企业中使用的 SaaS 应用程序，或者假设它们已集成到企业身份提供商中。

• SSPM 工具严重依赖 SaaS 提供商提供的强大 API 来查看配置和身份权限。这些 API 显示的内容及其显示方式尚无标准。

• 许多 SaaS 应用程序没有建立最佳实践配置，因此供应商的分析和建议的深度各不相同。

8、网络安全人工智能助手

影响力评级：中等

市场渗透率：不到目标受众的 1%

成熟度：新兴

定义：网络安全人工智能助手利用大型语言模型来帮助发现网络安全工具中现有的知识，并生成与安全团队中的目标角色相关的内容。网络安全人工智能助手大多作为现有产品的配套功能提供，但也可以采用专用前端的形式，并可以集成软件代理来采取行动。

为什么重要

网络安全技术提供商已经拥抱了生成式人工智能 ( GenAI) 浪潮，推出了集成到其现有产品中的人工智能助手。这些网络安全人工智能助手提供知识发现和内容创建（通常是摘要或生成的代码/脚本）。他们提高生产力的承诺吸引了网络安全高管。这些助手可能会发展成为多模式（不仅仅是文本），并成为更自主的代理，可以使用高级指导工作而无需频繁提示。

商业冲击

组织将开始使用网络安全人工智能助手作为更先进的交互式帮助和查询引擎。它们非常适合调查任务，例如事件响应、暴露或风险管理或代码审查。它们有望提高安全成熟度较低的组织以及拥有既定流程和大型团队的组织的效率并缩短响应时间。各种用例都将适用（应用程序安全、安全运营、基础设施安全），但采用速度会有所不同。

驱动因素

• 利用 GenAI 的网络安全人工智能助手的主要用例包括创建通用的最佳实践指导、综合和分析威胁情报、自动执行事件响应的第一步以及为应用程序安全生成补救建议。

• 各组织持续面临技能短缺的问题，并寻求机会实现资源密集型网络安全任务的自动化。

• 网络安全人工智能助手还可以帮助实施更安全的代码，修复云错误配置，生成脚本和代码，并识别日志系统中的关键安全事件。

• 网络安全人工智能助手的其他用例包括调整安全配置，以及进行风险和合规性识别和分析。

• 网络风险分析师需要加快网络风险评估，并通过提高自动化程度和预先填充风险数据来提高灵活性和适应性。

• 更广泛地说，Gen AI 可能通过更好地汇总、分析和优先处理输入来增强现有的持续威胁暴露管理程序。它还可以生成现实场景以供验证。

障碍

• 网络安全行业已经饱受误报困扰。一次糟糕的“幻觉”或 GenAI的不准确反应都会导致组织对采用持谨慎态度或限制其使用范围。

• 为 GenAI 应用程序实施负责任的 AI、隐私、信任、安全和保障的最佳实践和工具尚未完全存在。

• 组织仍然需要使用 GenAI 来增强其核心技能。目前，采用 GenAI 可能会在成功减少工作量之前增加工作量。

• 由于 GenAI仍在发展，建立广泛采用所需的信任需要时间。对于技能增强用例来说尤其如此，因为您需要增强的技能才能确保建议是好的。

• 这些助手的定价不确定性将成为影响采用速度的重要因素。目前，只有少数供应商公布了其定价，而许多供应商则免费提供早期预览版。

9、FinDRA

影响力评级：颠覆

市场渗透率：目标受众的 1% 至 5%

成熟度：成长

定义：金融数据风险评估 (FinDRA) 优先考虑数据安全和隐私方面的金融投资决策。FinDRA 评估的目的是将业务风险降低到可以接受的水平，以平衡业务成果。FinDRA 通过分析数据安全治理 (DSG) 和数据安全和隐私风险评估确定的业务风险的财务影响来实现这一优先排序。

为什么重要

FinDRA 使组织能够将数据安全和隐私风险的语言转化为业务风险和结果的语言。

商业冲击

FinDRA通过关注数据安全和隐私风险如何在财务方面支持业务成果，为制定数据安全投资预算奠定了基础。

驱动因素

• 组织正在利用各种数据和分析资产，导致数据和业务风险大幅增长。然而，他们很少分析数据风险对其业务投资决策可能产生的业务成果的财务影响。

• FinDRA 正在创造一个机会来了解与每个数据集相关的机会成本、浪费和风险如何产生财务影响。

• 组织需要评估数据安全和隐私风险如何影响绩效、改善客户体验、实现合规性、避免安全事故或意外处理以及对业务造成财务影响。这是一个重要的过程，可以解释数据风险如何推动业务支持并实现更强劲的财务绩效。

障碍

• 大多数组织继续将数据货币化投资的决策过程和责任与与数据安全和隐私相关的投资决策分开。

• 安全视角通常不包含在创建、收集、使用或共享数据的业务决策中。因此，许多组织没有机会将不同的安全和隐私风险的影响转化为业务成果。

• 企业领导者经常误解数据安全风险和隐私风险的语言，并且经常会优先考虑企业对数据的访问，而不是数据安全主导的控制。

10、网络治理、风险与合规

影响力评级：颠覆

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：网络 GRC 是一个战略框架，由工具管理，使业务与相关安全法规、框架和标准保持一致，同时管理风险和监管合规性。治理涉及定义领导力、组织结构和流程，以确保有效实施和维护网络安全控制。风险管理识别、评估、缓解和报告风险，而合规性则确保组织满足所有法律和政策要求。

为什么重要

网络治理、风险与合规 (网络 GRC) 对于保护资产、确保合规性以及有效管理网络风险至关重要。现代网络 GRC 工具可以自动化这些流程并与业务目标和总体风险管理策略保持一致。它可以提供相关网络风险的可见性并支持明智的决策，从而支持弹性和声誉。实时报告和分析可实现快速行动和投资，增强控制并改善整体安全态势。

商业冲击

网络 GRC：

• 加强态势和合规性，根据业务目标、声誉和预算减少风险实现

• 通过针对成熟度和安全态势提供行动建议来增强决策能力

• 自动收集指标、控制有效性汇总并识别合规性、政策和框架方面的差距

• 在客户、投资者和监管机构之间建立信任，促进安全的商业环境

• 通过确保集成功能来统一安全程序、IT 和业务

驱动因素

• 随着企业在各个职能领域越来越多地利用数字技术，扩大潜在的网络攻击面，采取全面而战略性的方法来实现强大的网络安全控制和措施的需求变得比以往任何时候都更加重要。

• 二线运营的日益数字化使得网络风险管理流程自动化成为关键关注点。

• 网络威胁形势日益复杂、精密，攻击面也日益扩大，这要求企业对网络风险形势有统一的认识，以便及时有效地识别、评估和缓解风险。

• 应对不断变化的监管环境可能具有挑战性，但通过使流程与相关法规保持一致，网络 GRC 工具可以促进合规管理。这可以提高组织合规可见性和利益相关者的信任度，并缓解监管压力，以改善和加快风险可见性。

• 企业希望安全地实现战略目标，将网络安全融入整体业务战略和运营中，并将网络安全工作和投资与业务目标和新的运营模式相结合。

• 网络事件可能会带来重大财务损失，包括补救成本、监管罚款和业务损失，以及组织声誉受损，从而导致客户信任和竞争优势丧失。有效的网络 GRC 可以减轻这些风险。

障碍

• 集成技术和业务数据源是有效 GRC 工具的关键功能。自动化在很大程度上取决于控制和流程实施的成熟度。

• 组织需要投资于流程变革、角色调整和培训，以使团队掌握技能或考虑咨询/托管服务。

• 与其他 GRC 或安全运营工具重叠的功能可能会导致混乱、冗余以及采购部门对效率低下和预算问题的潜在不满。

• 由于优先事项和观点不同，协调 IT、安全和业务目标可能具有挑战性。

• 预算限制和有限的财政资源可能会限制网络 GRC 工具的实施和有效管理。网络威胁的动态性质要求不断更新和升级，这可能会耗费大量资源。

• 超大规模全球组织可能必须投资多种网络 GRC 工具来支持复杂的需求和有时松散的联合环境。

11、数据风险评估

影响力评级：颠覆

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：数据风险评估 (DRA) 是一个多方面且持续的过程，旨在平衡业务需求与数据风险。数据风险包括治理、安全、监管和声誉风险，组织如果处理不当数据可能会遭受这些风险，并且可以通过发现可能因不当访问、数据驻留、合规性、隐私和安全威胁而导致的任何政策漏洞或不一致来识别这些风险。

为什么重要

应使用 DRA 定期评估业务风险如何因现有数据安全、隐私和身份管理产品组合中的隔离控制而导致所需数据安全策略出现漏洞和不一致而产生。DRA 是成功实施数据安全治理 (DSG) 的基础。

商业冲击

• 能够减轻对财务、客户或绩效有影响的业务风险。它重点关注组织必须根据其风险偏好确定优先级的数据风险。

• 支持业务风险优先级划分，并阐明在预算和对业务成果的影响下每种风险将减轻到何种程度。优先级划分通常侧重于财务 DRA 和对业务的经济影响，以决定安全预算应为多少。

驱动因素

• 迫切需要建立对 DRA 的业务支持，将数据风险与业务成果联系起来，以便可以识别和评估项目团队的数据访问要求。

• 通过识别数据安全策略在现有独立安全产品的实际实施方式方面的差距和不一致性，可以评估如何更一致地协调它们或是否需要额外的产品。

• 从数据安全角度来看，分析数据风险需要一个能够利用结构化和非结构化格式的安全、隐私和业务元数据数据分类的过程。这需要工作人员通过分析多个数据目录和数据分类工具进行解读，以测试和评估数据分类的一致性，以支持 DRA。

• 通过分析数据图，可以将数据风险与提供给每个用户或 AI 帐户的数据访问权限关联起来。然后可以根据 DSG 政策识别数据特权访问中的任何差距或不一致之处，并创建数据风险登记册。

障碍

• 仅当数据安全控制所提供的差距或不一致性对业务结果的影响得到传达时，业务利益相关者才会支持 DRA 。

• 识别与每个数据集、每个项目或服务相关的所有用户和 AI 帐户权限是一项挑战。

• 每种数据安全产品都是孤立的，通常只对数据流路径到特定存储库应用特定控制。它们既不集成也不共享策略实施。

• 每种产品都部署了专有的数据发现、分类和分类工具，每种工具对数据的理解都不同，并且不能与其他工具集成。

• 终端的多样性和地理分布在识别和分析用户帐户对数据存储库的访问时产生了问题。

• 识别覆盖从数据存储库到终端的数据流的所有数据安全、隐私、身份和访问管理以及应用程序产品需要业务利益相关者的支持。

12、组织韧性

影响力评级：颠覆

市场渗透率：不到目标受众的 1%

成熟度：孵化

定义：Gartner 将组织弹性定义为组织在不断变化且日益复杂的环境中抵抗、吸收、恢复和适应业务中断的能力，从而实现其目标并反弹和繁荣。

为什么重要

组织威胁的频率不断增加，导致影响企业生存的中断。弹性是每个组织越来越重要的目标，并且正在成为当今复杂而动荡的世界的战略要务。弹性组织能够降低中断的可能性，在最坏的情况发生时将影响降至最低，并高效有效地恢复正常运营。

商业冲击

弹性组织通过以下方式有效地保护、维护和继续其服务交付优先事项：

• 迅速反弹、恢复并维持决策。

• 持续协调、管理和降低组织风险。

• 善于沟通、协作、合作、适应和创造。

• 投资有弹性且灵活的基础设施。

• 具有坚定的领导力和项目管理能力。

• 将韧性融入组织文化中。

驱动因素

• 在风险和技术创新日益复杂的世界中，组织弹性将成为成功组织的标志，并影响其领导力、文化、治理和所有业务互动。

• 高级管理人员越来越需要安全和风险管理领导者拥有更多的战略思维，这推动了制定与企业目标的持续实现直接相关的弹性规划的需要。

• 持续制定跨业务流程、IT 基础设施、供应链和第三方的弹性策略的能力使整个组织能够在遭受冲击或干扰后迅速恢复最佳性能。

• 对网络安全的持续担忧以及对 IT 基础设施攻击的必然性，继续成为推动联合组织弹性方法需求的共同主题。

• 随着人工智能的使用扩展到主流运营中，安全和风险管理领导者需要意识到在管理未来威胁的同时提高组织弹性的机会。

障碍

组织恢复能力是一个持续的过程，在注重短期利益的商业环境中是不可能实现的。组织必须在时间、人员和基础设施冗余方面进行投资，才能在业务中断后恢复。

组织弹性将在以下情况下失效：

• 它不是以商业为中心的。

• 无法获得高管的支持。

• 它是在目标不明确的组织孤岛中发展起来的。

• 恐惧、不确定和怀疑与无法最终解决问题有关。

• 它与保护实现企业目标的商业利益无关。

• 它被视为一个项目，而不是一个计划。

客户互动证实，除非有监管原因需要继续，或者使用框架和方法的方式限制了灵活性，否则弹性计划将在两年内停滞，从而导致计划不会显著提高组织弹性。

期望膨胀期

13、AI 信任、风险和安全管理 AI TRiSM

影响力评级：较高

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：AI 信任、风险和安全管理 (AI TRiSM)确保 AI 治理、可信度、公平性、可靠性、稳健性、有效性和数据保护。AI TRiSM 包括模型和应用程序透明度、内容异常检测、AI 数据保护、模型和应用程序监控和操作、对抗性攻击抵抗以及 AI 应用程序安全的解决方案和技术。

为什么重要

AI 模型和应用程序在开发和运行时应受到保护机制的约束。这样做可确保持续创造价值并根据预定意图进行可接受的使用。因此，AI TRiSM 是一个框架，它包含一组风险、隐私和安全控制以及信任推动器，可帮助企业治理和管理 AI 模型和应用程序的生命周期，并实现业务目标。这样做的好处是可以改善结果和绩效，并增强对《欧盟 AI 法案》等法规的遵守。

商业冲击

无法持续管理人工智能风险的组织极有可能遭遇不良后果，例如项目失败、人工智能性能不佳和数据机密性受损。不准确、不道德或非预期的人工智能结果、流程错误、不受控制的偏见以及来自良性或恶意行为者的干扰可能会导致安全故障、财务和声誉损失或责任和社会危害。人工智能性能不佳还可能导致组织做出次优或错误的业务决策。

驱动因素

• OpenAI 的 ChatGPT 使第三方生成式 AI应用程序变得大众化，并改变了企业竞争和工作的方式。因此，托管的基于云的生成式 AI 应用程序的风险巨大且迅速演变。

• 民主化的第三方人工智能应用往往带来相当大的数据保密风险。部分原因是用于训练人工智能模型的大型敏感数据集通常来自各种来源，包括这些应用程序的用户共享的数据。

• 必须严格控制机密数据访问，以避免不利的监管、商业和声誉后果。

• 人工智能风险和安全管理提出了新的运营要求，这些要求尚未被充分理解，现有系统也无法解决。新的供应商正在填补这一空白。

• 必须不断监控人工智能模型和应用，以确保实施合规、公平且合乎道德。风险管理工具可以识别和调整（训练）数据和算法功能中的偏差控制。

• 未经检查的人工智能输出可能会导致组织做出错误的决策或采取有害行为，因为不准确、非法或虚构的信息会影响商业决策。

• 必须通过观察和测试模型和应用程序的输出不断测试 AI 模型和应用程序的可解释性和预期行为。这样做可确保 AI 模型和应用程序的原始解释、诠释和期望在模型和应用程序运行期间保持有效。如果没有，则必须采取纠正措施。

• 检测和阻止对人工智能的对抗性攻击需要大多数企业安全系统所不提供的新方法。

• 人工智能风险管理法规（例如欧盟人工智能法案以及北美、中国和印度的其他监管框架）正在推动企业制定措施来管理人工智能模型和应用风险。这些法规定义了组织在现有法规（例如与隐私保护相关的法规）之外必须满足的新合规要求。

障碍

• AI TRiSM 通常是事后才考虑的。组织通常直到模型或应用程序投入生产时才会考虑它。

• 与托管大型语言模型 (LLM) 交互的企业缺少自动过滤输入和输出的原生功能 ，例如机密数据政策违规或用于决策的不准确信息。此外，企业必须依赖供应商许可协议来确保其机密数据在主机环境中保持私密。

• 一旦模型和应用程序投入生产，AI TRiSM 就更难以适应 AI 工作流程，从而导致效率低下并使流程面临潜在风险。

• 嵌入人工智能的现成软件通常是封闭的，并且不支持可执行企业策略的第三方产品的 API。

• 大多数人工智能威胁尚未得到充分了解，也未得到有效解决。

• AI TRiSM 需要一个跨职能团队，包括法律、合规、安全、IT 和数据分析人员，建立共同目标并使用共同框架，这是很难实现的。

• 尽管具有挑战性，但可以使用 AI TRiSM 来实现生命周期控制的集成。

14、威胁暴露管理

影响力评级：转型

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：威胁暴露管理包括一系列流程和技术，使企业能够持续一致地评估可见性并验证企业数字资产的可访问性和可利用性。威胁暴露管理必须由有效的持续威胁暴露管理 (CTEM) 程序进行管理。

为什么重要

解决风险暴露所需的努力和发现问题的多样性导致了优先级冲突。安全团队很难确定风险降低行动的优先级，从而在他们认为自己控制力较弱的地方留下了空白，例如 SaaS 和社交媒体。威胁暴露管理减少了组织在识别、确定优先级和验证威胁暴露方面面临的挑战，因为攻击面多种多样。它还扩展了传统的漏洞管理 (VM)。

商业冲击

威胁暴露管理是一项专业技能，它管理和优先考虑现代企业的风险降低，并要求对用于业务活动的所有系统、应用程序和订阅进行评估，从而拓宽对当今数字环境的风险理解。CTEM 计划考虑了业务重要性、攻击可能性、漏洞可见性和攻击路径存在的验证，使企业能够调动对最相关风险的响应。

驱动因素

• 根据大量的调查结果，缺乏对优先级和风险的范围和理解，导致组织在处理其风险暴露方面有太多工作要做，而对于首先应该采取什么行动却几乎没有指导。

• 对于组织而言，需要一种程序化且可重复的方法来回答“我们的暴露程度如何？”这个问题。威胁暴露管理旨在随着环境在快速变化和扩展的 IT 环境中发生变化，重新确定治疗的优先顺序。

• 组织通常会孤立暴露活动，例如渗透测试、威胁情报管理和漏洞扫描。这些孤立的观点几乎无法让组织了解其所面临的网络风险的全貌。

• 随着现代组织扩展其关键的第三方基础设施、订阅和开源应用程序，通过漏洞和配置错误问题暴露于威胁的可能性大大增加。使用 CTEM 程序可减轻企业了解系统每个新部分带来的个别风险的负担。

• 用于识别威胁暴露的供应商产品正在不断发展和整合，以涵盖更广泛的可见性范围，这意味着最终用户无需购买新的订阅即可访问有关潜在威胁的新信息。

障碍

• 与传统 VM 相比，CTEM 程序的范围有所扩大，引入了许多以前通常未考虑或预算不到的复杂性。

• 虽然评估攻击面的概念已广为人知，但该领域的持续安全工具整合（例如带有漏洞评估的外部攻击面管理）已开始简化日常运营流程。然而，CAASM等其他技术的正式集成程度仍然很低。

• 大多数组织实际上不存在管理端到端意识的流程（从可能的攻击媒介的可见性到对违规行为的响应），这些组织通常只是出于合规性原因扫描和测试其网络。

• 攻击可能表现出复杂的表现方式，因此需要一定的技能才能理解。诸如暴露验证之类的市场领域使得使用诸如违规和攻击模拟工具之类的技术/服务来测试现成的场景变得更加简单。但要有效使用这些功能并开发定制的模拟，则需要新的技能和理解。

15、供应链网络安全

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：供应链网络安全是一种全面综合的方法，旨在保护供应链免受运营中断、恶意软件、勒索软件或其他类似威胁的侵害。这种方法旨在保护供应链中使用的 IT 和网络物理系统，以及公司制造和交付的产品和集成软件。它从企业内部着眼，也从构成供应链合作伙伴生态系统的上游和下游的第三方着眼。

为什么重要

网络攻击继续对所有行业的企业构成持续不断的威胁，尤其是制造业和医疗保健行业的组织已成为攻击目标。我们的 2023 年反脆弱性调查数据显示，网络攻击是供应链最没有准备应对的外部不确定因素之一。2023年，我们看到勒索软件继续成为一种使用率高且有效的攻击媒介。供应链领导者需要了解其供应链攻击面的全部范围。

商业冲击

网络攻击使供应链陷入停顿，影响了运营。2023 年，我们在航空航天和国防、消费品包装、食品和饮料以及医疗保健等领域看到了具体案例。这些攻击可能会对收入、利润、声誉、品牌、产品安全和完整性造成重大损害，导致知识产权丢失或被盗，并产生巨额罚款和费用。网络安全不仅仅是安全和 IT 团队的责任；供应链领导者必须继续积极参与网络安全工作。

驱动因素

• 供应链系统自动化和数字化的提高会导致威胁面的扩大。

• 供应链合作伙伴数量的增加也增加了网络攻击的表面。

•  美国上市公司现在必须每年披露重大网络安全事件，并说明其风险管理方法、战略和治理的合理性。地缘政治紧张局势和全球贸易战增加了网络攻击的可能性和影响。

• 事故数量不断增加，且停产成本高昂。

• 媒体对网络攻击及其业务影响的关注和认识加剧了恐惧并可能损害品牌声誉。

• 随着供应链中的其他角色（尤其是采购、制造和物流）对威胁的认识不断提高，组织意识也不断增强。

• 勒索软件即服务使得勒索软件攻击变得更加普遍，因为部署的技术门槛较低。

• 建立网络信任标志和网络弹性法案等产品安全相关的行业提案。

障碍

• 鉴于企业内部和更广泛的第三方生态系统中需要保护的供应链 IT 和网络物理系统部署的广度，网络安全风险的范围非常大。

• 在大多数组织中，网络安全风险的识别和管理的所有权和预算缺乏明确性。威胁扩张的速度使网络安全和供应链团队更难以跟上系统、产品和第三方关系的保护。

• 缺乏对网络安全广度有深入了解的供应链人才，而这超出了组织防火墙或供应商或法规明确限制的软件的限制。

• 目前市场上可用的安全工具和解决方案作为独立工具或采购套件、IT 工具或风险管理工具的一部分提供。

16、网络风险量化

影响力评级：较高

市场渗透率：目标受众的 5% 至 20%

成熟度：新兴

定义：网络风险量化 (CRQ) 是一种以业务相关的财务术语来表达互联数字环境对组织的风险敞口的方法。CRQ 根据统计概率和损失的财务表达（例如货币、市场份额等）为影响和/或可能性分配数值。它利用统计模型（例如蒙特卡罗模拟、贝叶斯模型）或确定性模型，例如离散场景或敏感性测试。

为什么重要

安全和风险管理 (SRM) 领导者在将业务目标和监管要求与网络风险缓解投资相结合方面发挥着关键作用。量化网络风险可以与其他业务风险进行比较，并帮助决策者平衡风险和机遇。CRQ 通过确定风险优先级、促进与风险所有者和高管的沟通以及与其他风险领域保持一致来支持网络风险管理框架。

商业冲击

应用CRQ：

• 提高相互竞争的安全优先事项之间的投资合理性

• 洞察风险是否按照风险偏好进行管理

• 帮助决策者优化基础设施和应用程序现代化方面的支出

• 援助的运营风险优先级，如控制措施的实施、需要补救的安全风险和具体的安全举措

• 帮助战略决策，如确定网络保险覆盖需求、优化保险费和资源规划

驱动因素

• 增强高管信心：CRQ 可以增强高管对安全计划的信心。它以非技术术语促进网络风险讨论，将网络风险投资与业务成果联系起来。

• 客观的安全投资决策：CRQ 可用于数据驱动、可辩护的投资决策。CRQ 为定性评估提供了一种可靠的补充方法，用于确定战略举措的优先顺序。

• 组织风险协调：将 CRQ 纳入更广泛的风险管理策略可确保风险缓解的统一性并增强组织的综合风险抵御能力。

• 风险暴露的货币表达：以货币形式表达的风险暴露更适合于网络风险与其他风险之间的直接比较，并且由于其在业务中的熟悉性而增强了 CRQ 的动机。

• 监管合规性审查：应用 CRQ 可以进行严格的数据驱动的风险评估，确保遵守监管标准并展示强有力的网络安全方法。

• 实时风险暴露分析：尽管历史数据点比金融或保险少，但 CRQ 可以近乎实时地分析网络风险暴露（例如勒索软件影响或技术债务增加），从而帮助制定战略和运营决策。

• 持续风险评估能力：CRQ支持持续风险评估能力的开发，促进财务系统、业务应用程序和IT/安全运营技术风险数据的自动输入。

• 降低采用门槛：支持 CRQ 的技术创新（例如网络治理、风险与合规、独立 CRQ 和提供实时数据连接的工具）降低了采用门槛。

障碍

• 在金融、公用事业、技术、电信、制造业和医疗保健等早期采用者行业中，防御性是一项关键挑战。CRQ的实施仍处于早期到中期阶段，创造透明结果的能力对于更广泛的接受至关重要。

• 向利益相关者解释 CRQ 方法及其对决策的影响的复杂性带来了重大挑战，可能会阻碍更广泛的组织接受和应用，从而造成利益相关者沟通的复杂性。

• CRQ 流程的可扩展性和自动化是一个重大障碍。随着业务的增长和发展，量化流程必须能够相应地扩展和调整。

• 选择者对于 CRQ 服务和解决方案对于业务决策的实用性缺乏共识。

• 将 CRQ 活动范围与业务参与度相结合是一项相当大的挑战，这可能会影响风险管理策略的有效性。

• CRQ 的业务影响缺乏可信、可追溯和可辩护的组织特定数据，这阻碍了 CRQ 工作的接受。

• CRQ 工作通常由技术驱动（以概率为中心）并且与特定的业务流程无关，并且数据收集活动过于复杂，失去了及时沟通的机会。

17、网络安全持续合规自动化

影响力评级：较高

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：网络安全持续合规自动化 (CCCA) 工具可帮助安全和风险管理领导者根据选定的网络安全标准和法规简化合规审计和认证流程。它们提供持续合规监控、证据收集等功能，并且通常提供对外部审计和认证流程的全面支持。可以选择与经过审查的合规专家和审计/认证机构合作。

为什么重要

监管机构、客户和合作伙伴需要可靠的安全态势管理证据，包括认证、证明和准确的报告。安全和风险管理领导者必须提供持续、准确的合规报告。这需要加强监控、持续收集证据和量身定制的报告。从历史上看，手动、容易出错的合规活动给安全团队带来了负担，因此需要自动化和精简流程来减少错误和工作量。

商业冲击

网络安全 CCA ：

• 降低不合规处罚的风险

• 通过合规监控和审计准备来维护声誉，这对利益相关者的信任至关重要。

• 促进持续遵守法规和标准，这是法律和行业地位的关键因素。

• 通过降低错误的可能性并释放资源/周期以执行其他任务来提高合规精度。

• 简化监管和认证要求的工作量。

驱动因素

• 随着法规和标准范围不断扩大并变得越来越复杂，网络安全 CCA可帮助组织简化和优化合规和认证流程，减少手动工作并确保他们能够更快、更有效地适应新的要求。

• 鉴于合规审计的必然性，网络安全CCA简化了证据收集并促进了某些要求（例如文件和流程）的创建，从而简化了审计准备并确保了准确性和及时性，这对于响应审计要求至关重要。

• 网络安全 CCA支持 CISO 确保在敏捷/DevOps 团队频繁发布软件的环境中持续合规。传统的合规方法不够完善，因此网络安全 CCA 对于确保无缝收集相关软件交付控制的证据至关重要。

• 网络安全 CCA 使安全团队能够获得认证专家提供的专业合规专业知识，并得到审计合作伙伴和认证机构的支持。这种量身定制的帮助可帮助安全团队确保准确履行法规和认证机构的期望。

• 网络安全 CCA 可自动执行证据收集和监控的关键环节，同时简化其他任务，例如创建某些要求。这种方法大大减少了安全团队的手动工作量，减少了审计疲劳，使他们能够专注于其他战略计划。

• 网络安全 CCA 通过集中并提供最新的合规性数据，促进安全团队和审计员之间的更好沟通。这可确保审计员及时获得信息，从而使审计讨论和整个审计流程更加顺畅。

障碍

• 某些任务（例如证据收集）的自动化需要与平台集成，这取决于连接器的可用性和定制性。这可能会带来挑战，因为并非所有系统都可以轻松支持必要的集成，从而限制了自动化的范围。

• 某些合规性和认证要求及其监控仍需要手动提供和执行。

• 外部专家的合规支持和指导可能具有挑战性，以确保他们的建议与其组织的现有流程、文化和环境完全兼容。

• 审计人员在评估使用网络安全 CCA 工具收集的证据是否充分时，偶尔会使用个人判断，这可能会影响审计结果。由于对充分合规性的解释各不相同，这些罕见情况可能会使审计变得复杂。

• CyberGRC 或持续控制监控等工具具有重叠功能。额外的单点解决方案可能会促使与采购或财务部门进行讨论

18、持续控制监测

影响力评级：较高

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：持续控制监控 (CCM) 可自动监控网络安全控制的有效性并近乎实时地收集相关信息。

为什么重要

安全和合规要求的广度和深度不断增加，给参与测试和报告网络安全控制有效性的安全和风险管理领导者以及 IT 运营团队带来了压力。由于采用云和新的数字业务，攻击面增加，使安全保障任务比以前更加艰巨、容易出错和不完整。许多安全组织缺乏持续监控和衡量其控制有效性的能力。这降低了这些控制的价值。

商业冲击

网络安全中的 CCM 工具可帮助安全和 IT 团队减少安全控制管理的手动工作量，部分减轻员工负担，使他们能够专注于更高价值的任务并降低成本。这些工具还提供对安全控制的持续监控，可以更快地检测到潜在威胁并最大限度地减少违规和监管不合规行为，从而防止重大财务和声誉损失。它们不仅可以增强公司的网络安全态势，还可以建立更安全、更成功的业务。

驱动因素

• 通过在给定的时间范围内测试更多控制措施，提高安全和 IT 运营团队的生产力。这很有价值，因为组织在控制有效性测试和报告中面临着日益增长的安全和合规性要求。

• 确保及时发现并积极管理控制和漏洞，并根据特定风险阈值发出实时告警。这一点很重要，因为组织需要持续了解关键控制活动和法规。

• 简化控制测试并降低审计管理成本，因为控制活动的证据是根据指定的标准和政策自动收集的。这确保安全和 IT 运营团队不再需要在审计前匆忙收集证据并评估控制。

• 由于组织拥有风险补救、有价值资产保护和履行合规义务能力的现成证据，因此有助于避免罚款并在监管机构、客户和审计师眼中提高企业声誉。

• 通过提供背景和分析指标，实现风险管理沟通和决策的优先排序。

• 通过使用预配置的仪表板和报告来提高准确性，以避免通过临时数据导出、复制/粘贴和在分散位置搜索文件而导致的人为错误。

障碍

• 在测量控制效果时，CCM 连接器的可用性和定制会影响时间和预算。

• CCM 技术的复杂性导致经过培训的人员进行配置、管理和维护的额外成本。

• 技术限制和手动交互对数据集成提出了挑战，并限制了 CCM 的完全自动化。

• CCM 技术中固有的数据质量问题要求控制所有者有效地管理控制并与安全团队合作。

• 确保 CCM 输出的透明计算和适当利用对于避免误导性陈述和实现成功的投资是必要的。

• 由于 CCM 依赖于连接到其他系统来收集数据，因此此过程通常需要获得这些系统所有者的批准。这些应用程序所有者可能不愿意授予访问权限，尤其是当这些系统包含敏感数据（例如安全日志和威胁情报信息）时。

19、数据安全治理

影响力评级：颠覆

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：数据安全治理 (DSG) 可以评估和确定由数据安全、隐私和合规性问题引起的业务风险的优先级。这使组织能够制定支持业务成果的数据安全策略，并在业务需求与相关业务风险之间取得平衡。

为什么重要

DSG以数据风险评估 (DRA) 为基础，提供识别、评估、优先排序和缓解业务风险的必要方法。随着数据在本地和多云架构中激增，这些风险是由安全、隐私和其他合规性问题引起的。DSG 通过可应用于整个 IT 架构的数据安全策略在业务优先级和风险缓解之间建立平衡。

商业冲击

DSG 提供了一种平衡的策略来管理数据访问和使用，同时实施安全和隐私措施以最大限度地降低风险。DSG需要首席信息安全官 (CISO)、首席数据和分析官 (CDAO) 和业务领导者之间的协作，以确保建立数据安全指导委员会(DSSC)的工作。这种合作将有助于克服沟通障碍，重新专注于减轻业务风险和实现业务成果。

驱动因素

• 组织必须不断识别、确定优先顺序、管理和评估造成各种业务风险的数据风险，并平衡这些业务风险和业务成果。

• 需要以风险为重点的数据安全策略来指导在数据集组合中实施一致的数据访问控制。

• 创建和实施全面而一致的 DSG 驱动的数据安全策略可以有效地减轻与越来越多的组织采用的流行生成 AI 技术相关的放大数据风险。

• 为了确保业务连续性，组织必须有效处理和协调用户对单个数据集访问权限的内部和外部要求。这涉及考虑隐私、机密性、完整性、可用性、业务目的和生命周期风险等因素。

• 组织需要开发流程来创建和协调跨多个独立数据安全和身份访问管理 ( IAM)产品的数据安全策略，以最大限度地减少数据安全策略漏洞和不一致性。

• 没有任何单一产品能够全面降低与数据相关的业务风险，这凸显了集中制定和协调数据安全策略的必要性。

• 越来越多的隐私法规引入了与数据驻留和主权要求相关的风险。利用 DSG 流程，有效的隐私影响评估对于减轻这些风险至关重要。

障碍

• 业务利益相关者对数据管理的职责分散，这对使用DSG实施一致的数据安全策略带来了挑战。

• 部署多种数据安全、IAM 和本机应用程序安全产品会降低 DSG 的有效性，因为它们通常独立处理非结构化或结构化数据，并利用专有数据分类工具。

• 跨本地和多云服务的数据存储和处理的动态变化使得适应和提供一致有效的数据安全策略变得困难。

• 安全团队必须手动协调跨可用安全产品控制组合的数据安全策略。定期 DRA 的要求会加剧这一障碍，以揭示更大的业务风险中的差距和不一致之处，或确定未解决的策略或产品部署需求。

泡沫破裂低谷期

20、SaaS 安全

影响力评级：较高

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：SaaS 安全涵盖了有效保护大多数组织中不断增长的（通常越来越对业务至关重要的）SaaS 资产所需的一系列流程和控制措施。其中包括了解正在使用的 SaaS 应用程序、它们的风险程度和使用方式，以及建立对这种使用、应用程序配置和潜在风险应用程序互连的控制。

为什么重要

SaaS 的使用非常广泛，并且还在持续增长。虽然大多数组织都拥有某种形式的官方 SaaS，但业务技术人员主导的 SaaS 和影子 SaaS 也比比皆是。此外，SaaS 还用于许多业务关键型应用程序，例如 ERP 和 CRM，以及存储敏感数据。SaaS 的增长及其对业务的重要性创造了一个不断增长的攻击面，必须对其进行适当和有效的保护。

商业冲击

虽然大型 SaaS 提供商通常非常安全（但并非无懈可击），但小型 SaaS 提供商可能对企业使用存在重大风险。提供商的安全性仅扩展到平台本身；组织继续不安全地使用平台。可以从任何地方访问平台，并且每个平台的本机控件都不同。SaaS的安全方法有助于确保使用正确的应用程序并得到适当使用。

驱动因素

• SaaS 的采用、购买和配置是在 IT 之外进行的，而且通常没有安全性方面的投入，无法确定它们是否适合预期用途。即使与企业有共同治理安排，CISO 和安全团队仍需对这些采用的 SaaS 应用程序中的漏洞负责。

• SaaS越来越多地用于必须受到保护的关键应用程序和关键数据的存储。

• 安全服务边缘 ( SSE) 产品提供在线和通过 API 的 SaaS 控制。许多组织已经采用SSE 产品进行远程访问和 Web 访问控制。

• SaaS 应用程序可通过多种终端访问：浏览器、浏览器扩展、移动应用程序和电子邮件插件。攻击面很复杂。

• SaaS 应用程序越来越多地连接到其他SaaS 应用程序，并且这种攻击面也很复杂并且很大程度上是不可见的。

障碍

• 许多组织认为 SaaS无需额外控制就“足够安全” 。

• SaaS 安全应该从治理和选择合适的 SaaS 应用程序开始；在许多情况下，大量的 SaaS 已经被采用并正在使用中。

• 即使安全问题有最终责任，SaaS 和 SaaS 安全通常也没有中央责任。这导致没有购买中心或预算用于更广泛的 SaaS 覆盖范围，即使存在对顶级 SaaS 应用程序的控制。

• SaaS 风险通常被视为组织的剩余风险。

21、数字风险保护服务

影响力评级：中等

市场渗透率：超过50%的目标受众

成熟度：早期主流

定义：数字风险保护服务 (DRPS) 是一套技术主导型服务，可实现品牌保护、第三方风险评估和发现外部威胁，并对已识别的风险提供技术响应。它们提供对表层网络、社交媒体、暗网和深层网络来源的可视性，以识别对关键资产的潜在威胁，并提供有关威胁行为者的背景信息，以及他们进行恶意活动的策略、技术和程序。

为什么重要

随着威胁行为者的传播方式也相应商品化（在明网、深网和暗网中），现代攻击（从商品漏洞到精心策划的复杂欺诈计划）变得普遍而有效。DRPS 利用这些方式来发现和减轻可能直接影响业务运营或声誉的风险。这些服务通常需要专业技能才能运行，并且通常作为外包功能使用。

商业冲击

DRPS 主动识别来自社交媒体相关工件的外部风险，提供公开和暗网发现，甚至支持第三方风险计划以确定纠正措施，以保护贵组织的声誉和品牌。DRPS 旨在将公共互联网上与贵组织相关的所有恶意活动关联起来，将这些发现与威胁和业务背景相结合，并执行技术响应以在可能的情况下消除某些威胁（删除）。

驱动因素

• DRPS 的驱动力在于其支持一系列用例和用户角色的能力。示例用例包括数字足迹（例如，映射内部/外部资产和识别影子 IT）；品牌保护（例如，冒充、网络钓鱼和错误信息）；帐户接管（例如，凭证盗窃、相似域名和钓鱼网站）；数据泄漏检测（例如，检测知识产权、个人身份信息、信用卡数据、凭证）；以及高价值目标监控（例如，VIP/高管监控）。

• 风险管理的复杂性是组织能够从 DRPS 中获益的关键原因。这些复杂性包括不断扩大的攻击面、更加混合的劳动力、对电子商务的更高依赖、监管合规性、云资产、数字业务转型、不稳定的威胁形势，以及从受监控的风险和安全活动（例如与勒索软件相关的预勒索）中获得的信息量。

• DRPS 需求的另一个驱动因素是，这些产品对于最初无法从威胁情报 (TI) 中获益的中小型企业来说更为方便，因为缺乏安全方面的专业技能和资源，包括执行后续行动所需的时间。这是因为许多DRPS提供商提供的情报技术性较低且更易于获取，并且提供托管服务类型的产品。

障碍

• DRPS市场一直在增长，供应商数量已超过 75 家，这使得供应商很难脱颖而出。此外，供应商的能力各不相同，可能在提供全面解决方案方面能力有限。一些供应商拥有最佳方法，他们主要关注单一 DRPS 用例（例如 VIP/高管监控），而许多供应商已扩展到支持多个用例。此外，DRPS 供应商支持的删除类型和范围以及相关调查也各不相同。

• DRPS 现在是几乎所有大型 TI 供应商的主要功能，并且与其他互补市场重叠，例如托管安全服务提供商/托管检测和响应 (MDR) 提供商。这些市场竞争日益激烈，买家希望花更少的钱；因此，将服务整合到现有的采购工具中对许多组织来说似乎是可行的。

22、环境、社会及管治ESG

影响力评级：较高

市场渗透率：超过50%的目标受众

成熟度：早期主流

定义：环境、社会和治理 (ESG) 是制定、管理和报告组织的环境影响、社会影响和治理机制的战略和指标的过程。它使董事会和公司领导层能够综合和权衡利益相关者的利益，以制定公司战略、管理相关风险（包括网络风险）、监控整个运营过程中的 ESG 绩效、向利益相关者传达目标并管理披露要求。

为什么重要

ESG 正处在十字路口。不确定的经济状况、能源波动、政治反弹和不断变化的监管要求，同时使长期可持续性成为企业优先事项，同时迫使组织更好地考虑 ESG 工作的成本。因此，虽然“ESG”一词的使用受到质疑，但它对长期战略的重要性以及 ESG 相关数据的价值却有所增加。ESG 数据对公司的风险管理从未如此重要。

商业冲击

ESG 通过以下方式影响组织战略、运营和网络风险管理：

• 风险平衡进展：ESG 既影响风险（例如监管、声誉），也影响机会（例如获取资本、客户忠诚度）。

• 广泛的接触点：ESG 现在影响组织决策的所有领域——供应商、资本配置、并购、风险管理等。

• 目标设定：组织目标与长期可持续性之间的平衡。

驱动因素

• ESG 投资：全球范围内，ESG 基金在 2023 年共筹集了 630 亿美元的新投资。然而，这确实隐藏了一些不安，因为 2023 年第四季度的总赎回额接近 25 亿美元。投资者撤资可能只发生在美国，但未来ESG 投资的趋势似乎并不确定。 

• 监管披露推动：世界上大多数最大的经济体（美国、欧盟、英国、中国、印度和日本）都已制定或即将发布 ESG 披露指南或法规。特别值得注意的是，企业可持续发展报告指令 (CSRD) 现已颁布。

• 网络安全和隐私披露规则：违规行为和风险报告要求（通常包含在 ESG 报告中）只会加强对 ESG 数据管理和高效的公司披露流程的需求。

• 客户偏好：许多客户关心企业的环境和社会影响，并在购买产品、选择雇主和选举官员时做出基于价值的选择。要求披露范围 2 和 3 影响将给企业对企业的关系带来更大压力，因为企业需要有效的供应商 ESG 绩效和来自价值链更深层的数据。

• 政府政策：政策制定者制定的激励和抑制措施对企业的影响越来越大。为了实现目标，政策制定者正在制定税收、禁令、惩罚措施和新的市场机制。

• ESG 战略价值：随着制定清晰、可操作的 ESG 战略的价值日益凸显，94% 的上市公司目前已制定或正在制定 ESG 计划。首席执行官继续将可持续性列为优先事项，董事会也日益加强对 ESG 的监督，因为他们认识到 ESG 对长期韧性的必要性。

障碍

• 政治反弹：在美国，人们对 ESG 作为投资标准和公司管理重点的反弹日益强烈。美国大多数州至少有待出台立法，限制在投资决策中使用 ESG 因素，而消费者也已多次针对被认为过于注重 ESG 的品牌采取行动。这种反弹显示出一些全球蔓延的迹象。

• 能源需求和安全：地缘政治风险（例如俄乌冲突、供应链穿越红海）、能源需求增加（人工智能对电力的需求）、能源基础设施老化以及能源安全需求可能会在短期内与可持续发展目标相竞争。

• 宏观经济环境：宏观经济不确定性加大，通胀加剧，企业更加注重成本，长期ESG投资空间减小。

• 与战略整合不佳：2023 年Gartner ESG 目标设定调查发现，只有 18% 的企业领导者认为 ESG 目标有助于其组织实现战略目标。当 ESG 目标不被视为战略目标的补充时，它们实现的可能性较小。

• 量化效益：提高 ESG 绩效通常被视为无形效益，很难与直接的财务回报挂钩。

23、IT 供应商风险管理

影响力评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：IT 供应商风险管理 (IT VRM) 是确保有效管理与供应商和服务提供商合作所带来的风险的过程。IT VRM 的原则涉及识别、缓解和补救这些风险，以避免业务中断以及财务和监管影响。IT VRM 技术作为更广泛的 IT VRM 框架的一部分支持各种活动。

为什么重要

组织依靠 IT 供应商生态系统来实现其目标。然而，这种依赖性使他们面临潜在的供应商风险。如果没有风险缓解措施，组织可能会面临业务中断、法律或监管违规以及声誉影响。IT 供应商与第三方和第四方（例如分包商）的合作以及对 AI 和云模型的日益依赖进一步增加了风险，并增加了对 IT VRM 解决方案的需求。

商业冲击

IT VRM 解决方案提供了一种管理供应商风险的一致方法，同时帮助组织遵守不断变化的法律、政策和法规。它们集中管理和缓解供应商风险，并借助 AI 功能，可以消化数据馈送、风险情报和现有的组织风险政策。随着 IT VRM 解决方案功能不断扩展，组织还可以跟踪和监控供应商绩效、对环境、社会和治理 ( ESG) 计划的贡献以及互动。

驱动因素

• 组织需要管理与风险、数据隐私和网络安全相关的越来越多的法规。

• IT VRM 可以通过提前识别与供应商相关的风险并通过有效的控制和流程改进来降低风险，从而成为改善供应商成果的催化剂。

• IT VRM解决方案可自动执行部分或大部分评估、分析和控制验证过程；它们还提供补救和缓解指导。

• IT VRM 解决方案有助于监控与访问、支持或控制信息资产的供应商和其他第三方相关的风险。

• 随着实施的简易性提高，我们预计这些解决方案的采用将会持续增加。

• 随着世界继续应对地缘政治动荡和经济不确定性，企业将需要主动管理供应商风险。

障碍

• 资源限制阻碍了组织及时进行尽职调查和持续监控供应商的能力。

• IT VRM 程序不足、缺乏专业知识和流程，导致组织无法意识到IT 供应商的故障并且无法做好准备。

• 为了满足监管要求而评估 IT 供应商风险可能会导致过分强调基于调查的模型，从而导致接受风险而不是实施有效的控制。

• 验证 IT 供应商是否已实施有效的网络风险控制措施十分困难；不过，使用行业标准问卷已被证明可以提高有效性。

• 采用审计报告（SOC 2 Type II 和 ISO 27001 ）很有用，但分析起来很耗时。一些供应商（例如 Mirato、RiskXchange）正在利用 AI 来应对这一挑战。

• 监管格局的变化（《数字运营弹性法案》（ESG））和人工智能的实施正在影响供应商风险的评估、监控和管理方式。

24、威胁建模自动化

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：威胁建模自动化工具可自动创建安全需求和威胁模型。它们可以与软件开发生命周期 (SDLC) 工具集成，以管理需求并执行验证。威胁建模自动化工具可动态突出显示应用程序架构的潜在安全影响，并推荐安全编码实践或架构对策。

为什么重要

威胁建模以揭示安全需求是创建安全应用程序的关键。工具通过将安全性进一步移至 SDLC 的最开始，自动化并促进这些流程。虽然它们不保护代码，但它们使创建安全代码和应用程序架构变得更容易。它们还有助于确保确定适当的安全要求，而不是广泛的标准，这些标准不足以保护高风险应用程序，同时使低风险项目负担过重。

商业冲击

威胁建模自动化工具可显著减少创建和维护威胁模型、安全要求和风险评估所需的工作量。这可确保可以尽早定义特定于单个项目的安全规范，同时降低成本和风险，而不是事后再定义。这为组织内的多个群体（包括架构师、开发人员、安全团队甚至业务利益相关者）带来了巨大好处。

驱动因素

• 各类组织都在努力创建安全的应用程序。问题包括支持安全性的功能和对策不足（例如身份验证、访问控制和数据保护）以及基本的安全设计缺陷，所有这些都使应用程序容易受到攻击。威胁建模自动化工具可以帮助解决这些问题。

• 安全设计计划和安全软件合规性要求使威胁建模成为必不可少的最佳实践。自动化威胁建模工具使实践更快、更具可扩展性。它们还有助于确保满足与要求和法规相关的特定要求。

• 现代应用程序（包括分布式云原生技术、内部和第三方 API 的使用增加以及各种形式的AI ）更加复杂，手动准确建立威胁模型的难度也更大。威胁建模自动化可加快这些流程，并帮助建模者确保他们已识别所有威胁和相关对策。

• 快速的开发速度限制了威胁建模的时间。敏捷等迭代开发方法意味着威胁模型必须更频繁地更新。这两个因素都给手动方法带来了压力，并且更有可能限制威胁建模的范围或完全跳过。

障碍

• 准确表示快速变化的应用程序的能力仍然是威胁建模自动化工具的弱点。当今的大多数工具都需要用户干预才能随着应用程序的变化而更新模型，这会导致用户放弃使用。随着供应商开始将系统直接链接到云平台或基础设施即代码文件，确保更改自动反映在模型中，然后模型将自动生成更新的指导，这种情况正在改善。

• 功能各不相同。免费和开源工具易于采用，但在建模更复杂的系统时却不够用。这促使人们考虑使用商业工具，尽管其局限性限制了大多数高级用户的适用性。

• 大多数组织在建立应用程序安全计划时仍将重点放在应用程序安全测试上。这些工具对于在开发阶段识别代码中的漏洞至关重要，但无法在规划时识别设计缺陷。

25、隐私影响评估

影响力评级：较高

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：隐私影响评估 (PIA) 使组织能够识别和处理隐私风险。PIA 通常在实施新的处理活动和/或重大变更之前进行，考虑流程所有者和描述、为特定目的处理的数据类型以及每个目的的保留期限。详细说明可能包括法律依据、对数据主体的潜在影响以及缓解措施，以确保受控的个人数据处理环境。

为什么重要

隐私监管环境的持续变化要求组织机构对其处理的个人数据以及保护个人数据的原因和方式有基本的了解。很少有组织机构能够展示对各种存储库和孤岛类型中个人数据的了解和控制，更不用说了解这些数据的使用方式或预期用途了。然而，这种了解对于隐私和安全控制的适度和充分部署至关重要，这使得PIA 成为有效隐私计划的基石之一。

商业冲击

PIA 可提高监管合规性，在整个数据生命周期内控制个人数据，并有助于确定访问管理以及数据生命周期的终止，从而有目的地处理人们的数据。它有助于防止（内部）数据泄露和个人数据滥用，帮助安全和风险管理 (SRM) 领导者量化主体面临的风险，并在适当的时间应用适当的缓解控制措施。经常和持续地进行 PIA 为负责任和透明的数据管理奠定了基础。

驱动因素

• 许多组织使用电子表格和问卷手动进行 PIA 。随着 PIA 数量增加和重复性需求增加，手动方法变得难以管理。

• 过度标准化将进行 PIA 所需的技能限制在少数人身上，而不是使他们成为组织数据处理结构的一部分。

• PIA 自动化工具允许（API 驱动）触发器启动评估过程，在每个步骤收集所需的信息并通过预定义的工作流程对其进行跟踪，直到案件结案或标记为需要补救。

• 如果做得好，PIA 将成为将法律要求和业务流程再造与隐私实际操作联系起来的核心，通过设计和启用适当的安全控制应用。

• PIA 的结果将有助于评估处理活动记录 (RoPA)。通过数据和分析领导者提供的数据结构情报，SRM 领导者可以进一步自动化预期的个人数据生命周期，确定应该和不应该在哪里提供。换句话说，基于目的的处理活动的 PIA 结果决定了基于目的的访问控制 (PBAC)。此外，它还有助于实现确定的数据终止时刻的自动化。

• 整个 PIA 流程使数据治理计划变得更加可控，但目前的主要驱动因素仍然主要来自监管要求。其他框架确实有所帮助，例如 2023 年修订的 ISO 29134。

障碍

• 由于设计不当的手动工作流程和一刀切的心态，PIA 通常被认为是一项繁琐的任务，在长期强制执行此项活动的组织中，PIA 会产生一定的疲劳。

• 商业伙伴认为的“复选框心态”无助于提高 PIA 的质量。

• 低估 PIA 的相关性和地位、PIA 不完整和准确，或者未能经常更新 PIA，都会导致最初的尝试最终徒劳无功。

• 如果没有知识渊博且训练有素的员工，PIA 自动化工具很难根据组织的需求进行定制。因此，即使是自动化方法也无法实现与 PIA 理想关联的个人数据生命周期治理或管理活动的后续自动化和协调。

稳步爬升复苏期

26、安全评级服务

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：网络安全安全评级服务 (SRS) 为在互联网上可见的企业提供持续、独立的评分。它们通过非侵入方式从公开来源收集数据，分析数据并使用专有评分方法对安全性进行评级。这些工具用于内部安全报告、网络保险承保、尽职调查信号以及第三方/供应商网络安全评估和监控。

为什么重要

人们对网络安全威胁和隐私法规的关注度正在不断提高。与此同时，对第三方（尤其是云服务提供商（一切皆服务））的依赖也在不断增加。这些因素使得人们越来越需要了解网络安全威胁。评估第三方安全控制的传统方法压力重重，存在局限性，尤其是在涉及数百甚至数千个外部方时。

商业冲击

借助 SRS，安全和风险管理 (SRM) 组织可以获得客观、相对低成本的外部评估，这种评估可能有用但不完整。SRS调查结果可用于补充安全评估和业务影响分析得出的数据，并让公司董事会和高层领导参与促进持续的风险对话和投资。然而，没有背景的“评级分数”对负责尽职调查的业务高管和董事会成员或网络安全团队来说价值有限。

驱动因素

• 第三方安全评估或认证提供了即时快照，但并不总是可用或由第三方共享。

• 一些 SRS 供应商已经深入了解暗网，并能够帮助通知对第三方网络安全事件的响应行动。

• 企业越来越努力地将网络安全指标转化为对高级管理层及其客户的可量化风险衡量标准，最好是与同行和竞争对手进行比较。

• 随着第 n 个缔约方的增加，对第三方和第四方的可视性以及跟踪和监控风险的能力已成为一项挑战。

• 供应商可以使用 SRS 来证明他们实施了良好的安全措施，从而支持销售和营销。

• SRS 代表一个独立的数据源，用于支持多种用例。

• 除了上面列出的用例之外，Gartner 预计还将出现更多用例，以满足对第三方网络安全控制的测量和监控日益增长的需求，以及该领域的供应商将引入新功能。此外，Gartner 预计该市场将出现更多并购，该市场将继续扩大，新进入者之间的差异有限。

障碍

• 尽管 SRS提供了一些有用的指标来衡量实体的网络安全状况，但这些服务并未提供完整的安全控制评估，因为它们的信息主要来自公共来源（例如，通过访问互联网 IP 地址）。不过，一些 SRS 供应商正在将观察到的控制映射到行业标准问卷或认证/证明框架。

• 由于报告的复杂性，分数报告和识别的潜在风险通常需要进一步分析和解释。

• 没有任何成熟的服务或解决方案能够提供经过时间考验的一致评级，并且有些服务或解决方案可能无法完全了解云环境，尤其是 SaaS。

• 虽然我们认为这些服务为企业提供了发出信号和监控网络安全漏洞潜力的能力，但它们不能替代尽职调查和内部或第三方控制的评估，也不应单独使用 SRS 作为企业安全态势的指标。

• 告警功能需要持续监控来推动行动，这可能会增加操作开销。

27、风险管理关键控制指标

影响力评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：控制指标是一种度量标准，用于衡量特定控制措施在缓解实施该控制措施所针对的特定风险方面的有效性。关键控制指标 (KCI) 是与业务最相关的控制指标，可作为数据驱动决策的基础。网络安全领域的例子包括防火墙规则合规性、事件响应时间和防病毒有效性。

为什么重要

有关运营弹性的监管要求不断增加，董事会也希望提高对安全风险的可视性。安全风险发生的可能性和严重程度都在增加，并且与其他风险相互关联，从而提升了其影响力。尽管风险领导者经常使用关键风险指标 (KRI) 来监控风险敞口，但 KRI 无法提供对控制状态的洞察，也无法帮助管理层及早发现控制漏洞，从而采取预防或缓解措施。

商业冲击

通过使用 KCI，安全和 IT 部门的风险领导者及其在其他风险管理职能部门的合作伙伴可以洞察最关键的控制故障。他们还可以帮助组织确定可预防和减少安全风险事件损害的行动的优先顺序。企业可以通过更好地准备应对和从安全中断中恢复来提高其弹性。

驱动因素

• 有关运营弹性的监管要求以及董事会对更多了解安全风险和提高运营弹性的渴望推动了对 KCI 的需求。

• 监管部门对董事会的指导和要求是，将内部控制失效报告作为履行董事会职责的一个方面。

• KCI是支持持续控制监控的重要输入，可补充或增补时间点控制评估。组织建立持续控制监控能力的压力越来越大，这使得开发 KCI 更具吸引力。

• 当前许多控制测试程序都注重控制性能，错失了测试有效设计的机会，而 KCI 是整体有效性的指标。

• 安全风险事件的严重程度和发生频率都在增加。

• 现有的跟踪控制程序在很大程度上仍然是非正式和手动的，尽管控制环境的某些方面可以高度自动化。

• 安全风险事件的影响导致复杂性日益增加，因为它们在整个企业中的相互联系比以往任何时候都更加紧密，尤其是第三方风险和其他风险。

障碍

• KCI 的有效性取决于组织在业务决策中积极使用风险偏好和风险容忍度指标作为护栏的能力。由于风险偏好和相关容忍度指定了公司在实现其战略目标时愿意接受的风险量，因此它们有助于定义控制有效性的参数。如果对风险偏好和容忍度了解不深，建立 KCI 有效性定义和阈值可能是一个挑战。

• 内部控制程序通常是非正式和手动的，因此对于希望升级的组织来说，其他程序方面（例如自动化和精简）通常是首要任务。与这些努力相比，定义和实施关键绩效指标可能被视为过于复杂或优先级较低。