首席信息安全官们（CISOs）应该将关注重点放在下述十大安全项目上，以降低风险并大力推动公司业务发展。

如今，一些大型企业的首席信息安全官们可能已经淹没在自己的待办事项列表之中，他们明知道自己不可能完成所有的事情，但还是在努力缩小无数潜在安全项目的范围。对此，Gartner研究副总裁兼著名分析师Neil MacDonald，在美国马里兰州国家港口召开的“2018 Gartner 安全与风险管理峰会”上表示，

企业首席信息安全官们，应该专注于那些能够最大限度降低风险，且会对企业业务产生最大影响的安全项目上。

【Neil MacDonald在“2018 Gartner 安全与风险管理峰会”上发表演讲】

为了帮助首席信息安全官们理清重点，在2018年下半年更好地开展工作，MacDonald分享了Gartner为安全团队遴选的十大新项目名单。MacDonald 解释道，

这些都是具备真正的支持技术的单独项目（project，为创造某一独特产品、服务或者结果所做的一次性努力），而不是项目群（Program）。而且，对于大多数首席信息安全官来说，这些项目都是新鲜事物，企业采用率还不到50%。

2018 Top10安全项目

1.特权账户管理

该项目旨在更好地防御攻击者访问特权账户，并应允许安全团队对非常规访问的行为进行监控。最低限度来说，首席信息安全官应该为所有账户管理员制定强制性多因素身份验证（MFA）。此外，Gartner还建议首席信息安全官应该使用MFA进行第三方访问，如承包商。

小贴士：首先使用基于风险的方法（高价值、高风险）系统；对非常规行为进行监视。

2.持续性适应风险与风险信任评估（CARTA）支持的漏洞管理

受到Gartner的持续性适应风险与风险信任评估（CARTA）方法的启发，该项目是解决漏洞管理问题的良好途径，并且还具有显著降低风险的潜力。当修补过程被破坏，以及IT运营无法解决大量的漏洞问题时，可以考虑使用该项目。您可能无法完全修补所有漏洞，但您至少可以通过优先考虑风险管理工作，来大幅降低风险威胁。

小贴士：要求您的虚拟助手/虚拟机供应商提供这一项目，并在您的分析中考虑风险缓解控制措施，例如，建立防火墙等。

3.主动/积极反钓鱼

该项目主要针对那些员工长期遭受网络钓鱼攻击的组织。该项目要求采用一个“三管齐下”的策略：技术控制、终端用户控制以及流程再设计。使用技术控制措施可以尽可能多地阻止网络钓鱼攻击。但同时也让用户成为防御策略中的积极部分。

小贴士：注意那些行为无误的个体。咨询您的电子邮件安全供应商是否可以开展该项目。如果不行，是什么原因造成的？

4.将应用程序控制部署到服务器负载中

那些寻求服务器负载“默认拒绝”或零信任状态的组织，可以考虑此项目。该项目可以使用应用程序控制措施来阻止大多数的恶意软件，因为这些恶意软件都未被列入白名单中。MacDonald表示，这是一个非常强大的安全项目，其已被证实能够成功地防御“Spectre”（幽灵）和“Meltdown”（熔断）漏洞。

小贴士：结合全面的内存保护策略一起使用。对于物联网（IoT）和不再享受供应商服务支持的系统而言，这是一个很棒的项目。

5.微分段（Microsegmentation）和数据流可视化

该项目非常适用于那些具有扁平化网络拓扑结构的企业——无论内部/本地部署还是基础设施即服务（IaaS）——因为，它们希望能够查看和控制数据中心内的流量。该项目的目标是阻止数据中心攻击的横向传播。MacDonald解释称，如果有恶意行为者侵入，该项目能够阻止他们在网络中肆意移动。

小贴士：将数据流量可视化作为微分段的起点，但切记，不要进行过度细分。从关键的应用程序开始，并要求供应商支持本地分段。

6.检测和响应

该项目主要针对那些知道泄露是不可避免的，并且正在寻找端点、网络或基于用户的方法，从而来实现高级威胁检测、调查和响应能力的企业。主要有以下三种变量可供选择：

· 终端防护平台（EPP）+增强数据传输速率（enhanced data rate，简称EDR）；

· 个体用户与实体行为分析（UEBA）；

· 欺诈；

对于那些正在寻找深入的方法，来加强其威胁检测机制和高保真事件的企业而言，后者是一个规模较小但理想的新兴市场。

小贴士：迫使终端防护平台（EPP）供应商提供增强数据传输速率（EDR），安全信息与事件管理（SIEM）供应商提供个体用户与实体行为分析（UEBA）能力。需要制定丰富的目标欺骗内容。考虑直接从供应商处获取存储数据寄存器（MDR）“快捷（lite）”服务。

7.云安全态势管理（CSPM）

该项目主要针对那些考虑对其基础设施即服务（IaaS）或平台即服务（PaaS）云安全态势进行全面、自动化评估，以确定过度风险（excessive risk）领域的组织。组织可以从很多供应商（包括云访问安全代理商CASB）中进行选择。

小贴士：如果您拥有的是单一的基础设施即服务（IaaS），请首先考虑亚马逊和微软。将此作为对云安全态势管理提供商的一项要求。

8.自动化安全扫描

该项目主要针对那些希望将安全控制措施集成到DevOps模式工作流中的组织。从进行开源软件组合分析开始，将测试集成为DevSecOps工作流（包括容器在内）中的无缝部分。

小贴士：不要让开发人员切换工具。要求全应用程序接口（API）支持自动化。

9.云访问安全代理商（CASB）

该项目主要针对那些拥有移动劳动力，且寻找对多企业、基于云的服务进行可视化以及基于策略的管理控制点的组织。

小贴士：利用数据发现证明该项目的合理性。将敏感数据发现与监控作为2018年与2019年的一个关键使用案例。

10.软件定义边界（SDP）

该项目主要针对那些希望通过限制数字系统和信息曝光度，仅在外部合作伙伴、远程工作人员和承包商之间实现数字与信息可见，来最大限度减少攻击面的组织。

小贴士：重新评估基于遗留虚拟专用网络（VPN）进行的访问。2018年，使用与合作伙伴相关的数字业务服务作为用户案例进行试点部署。