Sizing up Security in 2018: Prognosen für Ihr Unternehmen und Ihre (ehemalige) Identität

In meiner Rolle verbringe ich viel Zeit damit, mir Technologietrends anzusehen und darüber nachzudenken, wobei ich mich darauf konzentriere, wie Sicherheit Grenzen erreicht und durchbrochen wird. Das ist es, was mich antreibt, wenn wir Produkte entwickeln, die den Anforderungen des Marktes gerecht werden. Der ganze Grund, warum Illumio existiert, ist, dass ich gesehen habe, dass Firewalls an Grenzen stoßen und im Zeitalter der Cloud neu überdacht werden müssen.

Wie es zu dieser Jahreszeit Tradition ist, habe ich mir etwas Zeit genommen, um darüber nachzudenken, was sich im Jahr 2017 geändert hat und was das für das kommende Jahr bedeutet. Einige der Vorhersagen basieren auf der Realität dessen, was passiert ist und was wir gelernt haben, während andere eher spekulative und fundierte Vermutungen sind, die auf den uns vorliegenden Daten basieren.

Ich hoffe, dass diese Vorhersagen Sie zum Nachdenken anregen und Sie dazu inspirieren, den Wandel in Ihrem Unternehmen und in der gesamten Branche voranzutreiben und uns als Anbieter dabei zu helfen, Lösungen zu definieren und zu gestalten.

1. DevSecOps wird sich von einem demokratischen Modell zu einer Republik wandeln.

Die Verschiebung der Kontrolle vom Sicherheitsministerium (auch bekannt als die Abteilung des "Nein") hin zu dem Modell, bei dem der Entwickler alles und jedes tun kann, war eine Überkorrektur. Es hat auch ein inakzeptables Risiko für das Unternehmen geschaffen.

Es ist zwar wichtig, dass Entwicklung, Sicherheit und Betrieb zusammenarbeiten, aber im nächsten Jahr werden wir erkennen, dass dies keine Demokratisierungsbewegung, sondern eher ein republikanisches Modell sein sollte.

Entwickler müssen ihre agilen Entwicklungsprozesse und -anforderungen einbringen, und Sicherheitsteams müssen ihr Sicherheits-Know-how einbringen. Diese Teams müssen zwar auf neue Weise zusammenarbeiten, aber letztendlich sind die Sicherheitsteams dafür verantwortlich, das Richtige zu tun. Denn wie wir alle wissen, gibt es wirklich keine einzelne Person, die alle Komponenten von DevSecOps gleichermaßen repräsentiert. Es geht darum, teamübergreifend mit einer gemeinsamen Sprache und einem gemeinsamen Ziel zu arbeiten, bei dem die Expertise aller Mitglieder gefragt ist und jedes Kontingent für seine vielfältigen und fachkundigen Meinungen geschätzt wird.

2. Unsere offengelegten personenbezogenen Daten werden zurückkommen, um uns zu beißen.

Personenbezogene Daten (PII) sind nicht mehr gültig, da in den letzten Jahren so viele davon bei Sicherheitsverletzungen offengelegt wurden. Jeder muss anerkennen, dass er verletzt wurde und verwundbar ist und dass Angreifer mehr von unseren persönlichen Daten haben als je zuvor. Infolgedessen werden wir neue Arten von Angriffen sehen, die die große Menge an personenbezogenen Daten, die öffentlich verfügbar sind, ausnutzen. Angesichts des riesigen Pools an gesammelten PII-Daten könnten diese als Waffe eingesetzt werden, um massive Angriffe auf große Unternehmen (z. B. Regierungen, Finanzen, Gesundheitssysteme usw.) zu verursachen.

Die umfangreichen Daten, die Angreifer über einzelne Benutzer haben, könnten einzigartig ausgeklügelte Phishing-/Social-Engineering-Angriffe erzeugen, die nicht nachweisbar und nicht von den echten Angriffen zu unterscheiden sind – eine Übernahme von Leben ist möglich.

3. Der Markt wird erkennen, dass Sicherheit umfassend sein muss, und das erfordert einen kulturellen Wandel.

Unternehmen müssen sich gerade erst mit der Tatsache abfinden, dass Sicherheit an der Spitze beginnt und sich die Verantwortung über die gesamte Organisation erstreckt. Verstöße sind nicht auf eine oder eine Handvoll Personen oder sogar eine bestimmte Reihe von Richtlinien zurückzuführen, und Sie können nicht auf einen Sündenbock oder eine einzelne Änderung der Ereignisse als Ursache verweisen. Heutzutage spielt jeder im Unternehmen eine Rolle bei der Sicherheit. So etwas wie einen faulen Apfel gibt es nicht – es ist ein schlechtes Fass.

Unternehmen müssen sich darüber im Klaren sein, dass Sicherheit ein Bestandteil der Unternehmenskultur sein muss, und um dies zu einer Priorität zu machen, muss sie von oben nach unten kommen.

4. Anbieter von KI-Sicherheit müssen von der Technologie auf die Ergebnisse umstellen.

Anbieter, die KI anpreisen, werden endlich erkennen, dass Kunden Ergebnisse sehen wollen und nicht nur auffälliges Marketing. Unternehmen, die KI-gestützte Produkte verkaufen, müssen einen Weg finden, Ergebnisse auf quantifizierbare Weise zu zeigen und nicht nur ihre Lösung zu präsentieren.

Diejenigen, die dies tun, werden führend in der Branche sein.

5. Es wird einen zunehmenden Wunsch geben, Risiken zu quantifizieren

Wir beginnen, eine Verschiebung von qualitativen zu quantitativen Risikomessungen zu beobachten.

IT-Teams stehen unter strengerer Beobachtung und müssen daher die Rendite oder Effektivität ihrer Aktivitäten nachweisen, um Fragen darüber zu beantworten, wie Sicherheitsgelder ausgegeben werden und welche Auswirkungen sie auf die allgemeine Sicherheit des Unternehmens haben.

Dies gilt insbesondere dann, wenn wir von einem reaktiven Modell zu einem proaktiven Sicherheitsmodell übergehen.

6. Einige "Best Practices" für die Sicherheit werden im toten Pool angezeigt.

Neue Bereitstellungsmodelle wie Cloud und Container werden dazu führen, dass Unternehmen das Patch-Management als Sicherheitskontrolle aufgeben – das Ersetzen aktualisierter VMs oder Container ist viel einfacher als das Patchen an Ort und Stelle.

Dieselben dynamischen und verteilten Bereitstellungsmodelle führen dazu, dass Chokepoint-Firewalls oder solche, die sich auf die Steuerung des Datenverkehrs verlassen, gegenüber denzunehmenden Mikrosegmentierungskontrollen verloren gehen, die eine Sicherheitsdurchsetzung ermöglichen, die so dynamisch ist wie die von ihnen unterstützten Umgebungen.

Ich würde gerne Ihre Geschichten darüber hören, wie Ihre Erfahrungen mit meinen Vorhersagen übereinstimmen. Bitte teilen Sie uns Ihre Gedanken oder Fragen mit, indem Sie auf @illumio antworten.