每年六月，20180125/20458.html">Gartner 都會在華盛頓附近召開 20180125/20458.html">Gartner 安全與風險管理峰會。 這場峰會主要面向 CISO、首席風險官、建筑師、IAM 和網絡安全領導等高級 IT 和安全專業人員。 今年，有超過 3000 名與會者，120 場分析師會議可供選擇，還有 200 名供應商參加了展會并發表演講。

今年 5 月底正式生效的 GDPR 無疑成為了會議的熱門議題，區塊鏈也有頗多討論。但縱觀整個峰會，分析師們更加強調的是“回歸本源”，注重基礎設施、開發過程中的安全性。

本源很重要

許多分析師都在會上談到了數據相關的問題。GDPR 生效之后，數據不斷升值。 20180125/20458.html">Gartner 研究總監 Brian Lowans 在會議上拋出了“數據已經成為新一類石油”這個觀點，強調了數據的重要性，并分享了 20180125/20458.html">Gartner  關于“數據安全狀況”的分析結果。當前形勢下，建立一個管理結構并讓各個組織共同協作，有助于識別數據、將數據分類并采用戰略性方法保護數據。 一些分析師使用了相同的圖表（如下圖）來表明，黑客攻擊導致的數據泄露持續增長，而內部威脅和意外泄露等問題則比較平穩。基于這種趨勢，可以采取針對性的手段來確保安全。

此外，20180125/20458.html">Gartner 研究總監 Gorka Sadowski 和 Pete Shoard 還展示了 2018 年的威脅狀況（見下圖）。 回顧威脅狀況不僅能展示新攻擊媒介、腳本小子工具和韓國黑客帶來的噩夢般的攻擊場景，而且有助于控制風險 。 通過類比來看待“風險”，可以發現人工可以控制以及無法控制的部分。而利用那些可控的部分，就能減小風險。

我們通常無法預防威脅，但是，我們可以通過搭建良好的基礎設施，來降低已知漏洞的風險，最好是為業務制定“優先處理風險進而處理漏洞”的策略。這個策略也是整場峰會幾天來一直持續的主題。 以現場講解的“通過代碼庫中的惡意軟件注入將惡意軟件傳播到組織代碼中”為例，國內服務器租用 服務器托管，演講者不僅在 GitHub 中演示了詳情，還列舉了一些自我保護的方法。例如：不使用開源代碼改變流程并在使用代碼之前檢查 MD5 值。 代碼簽名是避免泄露的簡單而有效的方式，但它必須通過流程或技術來執行。因此，站群服務器，執行過程中可能出現問題，而安全研究員必須盡力在這個過程中來降低風險，確保安全。

DevOps 行之有效

Trend Micro 云研究副總裁 Mark Nunnikhoven 表示：DevOps  一直在被濫用，導致這個詞失去了原本的意義。目前已經有很多 DevOps 工具，不少組織還推出了專業“DevOps 人才”，但 DevOps 的核心其實是平衡組織內部的開發和運營環節。

DevOps 重點關注人員、流程和產品，并已經在企業和交付環節持續取得成功，獲得良性反饋和循環。從安全角度來看，DevOps 有助于創建“一種協作文化，通過減少生產環境的變化來降低風險”。

Nunnikhoven 說，公司如果能反應迅速，做出更小的變更，就能降低風險。以前，較大的組織部署可能包含數千行代碼，從中找出漏洞根源可能很難。但是，隨著 DevOps 發展出更多形態，企業可以每天多次部署，推出多次小的更新，舍棄以前一次性發布的較大更新。最重要的是，安全應當嵌入到開發過程中，不能作為一個額外的審計步驟。

這就要求安全部門需要發揮真正的作用，提高員工對 DevSecOps 的認識，打破孤島，讓安全團隊更早地成為開發流程的一部分，讓更多問題在生產中就能捕獲，從而降低產品發布后的風險。

安全融入用戶體驗

數字化時代，越來越多的用戶開始重視個性化體驗，安全領導者若想成功，也需要重視這一點。20180125/20458.html">Gartner 研究副總裁 Leigh McMullen 在峰會上表示，雖然作為安全人員希望事事都在掌控之中，但是人往往是不受控制的因素。因此，安全領導者在與業務部門溝通時以及在推出安全產品時，可能要改變參與方式，適當放棄控制來獲得話語權，讓領導者真正重視安全問題。在這一部分，他們所指的用戶主要是企業組織的高管與領導者等。

安全不應該破壞用戶體驗，但很多情況下安全的確妨礙了良好的用戶體驗。 用戶，以及企業中的每一個人，都希望他們的付出獲得相應的回報。如果你的用戶體驗不好，就可能被用戶淘汰。

20180125/20458.html">Gartner 表示，安全和風險領導者可以通過五種方法來提升用戶（高管）體驗：