首席信息安全官們（CISOs）應該將關(guān)注重點放在下述十大安全項目上，以降低風險并大力推動公司業(yè)務發(fā)展。
如今，一些大型企業(yè)的首席信息安全官們可能已經(jīng)淹沒在自己的待辦事項列表之中，他們明知道自己不可能完成所有的事情，但還是在努力縮小無數(shù)潛在安全項目的范圍。對此，Gartner研究副總裁兼著名分析師Neil MacDonald，在美國馬里蘭州國家港口召開的“2018 Gartner 安全與風險管理峰會”上表示，
企業(yè)首席信息安全官們，應該專注于那些能夠最大限度降低風險，且會對企業(yè)業(yè)務產(chǎn)生最大影響的安全項目上。

【Neil MacDonald在“2018 Gartner 安全與風險管理峰會”上發(fā)表演講】
為了幫助首席信息安全官們理清重點，在2018年下半年更好地開展工作，MacDonald分享了Gartner為安全團隊遴選的十大新項目名單。MacDonald 解釋道，
這些都是具備真正的支持技術(shù)的單獨項目（project，為創(chuàng)造某一獨特產(chǎn)品、服務或者結(jié)果所做的一次性努力），而不是項目群（Program）。而且，對于大多數(shù)首席信息安全官來說，這些項目都是新鮮事物，企業(yè)采用率還不到50%。
2018 Top10安全項目
1.特權(quán)賬戶管理
該項目旨在更好地防御攻擊者訪問特權(quán)賬戶，并應允許安全團隊對非常規(guī)訪問的行為進行監(jiān)控。最低限度來說，首席信息安全官應該為所有賬戶管理員制定強制性多因素身份驗證（MFA）。此外，Gartner還建議首席信息安全官應該使用MFA進行第三方訪問，如承包商。
小貼士：首先使用基于風險的方法（高價值、高風險）系統(tǒng)；對非常規(guī)行為進行監(jiān)視。
2.持續(xù)性適應風險與風險信任評估（CARTA）支持的漏洞管理
受到Gartner的持續(xù)性適應風險與風險信任評估（CARTA）方法的啟發(fā)，該項目是解決漏洞管理問題的良好途徑，并且還具有顯著降低風險的潛力。當修補過程被破壞，以及IT運營無法解決大量的漏洞問題時，可以考慮使用該項目。您可能無法完全修補所有漏洞，但您至少可以通過優(yōu)先考慮風險管理工作，來大幅降低風險威脅。
小貼士：要求您的虛擬助手/虛擬機供應商提供這一項目，并在您的分析中考慮風險緩解控制措施，例如，建立防火墻等。
3.主動/積極反釣魚
該項目主要針對那些員工長期遭受網(wǎng)絡釣魚攻擊的組織。該項目要求采用一個“三管齊下”的策略：技術(shù)控制、終端用戶控制以及流程再設計。使用技術(shù)控制措施可以盡可能多地阻止網(wǎng)絡釣魚攻擊。但同時也讓用戶成為防御策略中的積極部分。
小貼士：注意那些行為無誤的個體。咨詢您的電子郵件安全供應商是否可以開展該項目。如果不行，是什么原因造成的？
4.將應用程序控制部署到服務器負載中
那些尋求服務器負載“默認拒絕”或零信任狀態(tài)的組織，可以考慮此項目。該項目可以使用應用程序控制措施來阻止大多數(shù)的惡意軟件，因為這些惡意軟件都未被列入白名單中。MacDonald表示，這是一個非常強大的安全項目，其已被證實能夠成功地防御“Spectre”（幽靈）和“Meltdown”（熔斷）漏洞。
小貼士：結(jié)合全面的內(nèi)存保護策略一起使用。對于物聯(lián)網(wǎng)（IoT）和不再享受供應商服務支持的系統(tǒng)而言，這是一個很棒的項目。
5.微分段（Microsegmentation）和數(shù)據(jù)流可視化
該項目非常適用于那些具有扁平化網(wǎng)絡拓撲結(jié)構(gòu)的企業(yè)——無論內(nèi)部/本地部署還是基礎設施即服務（IaaS）——因為，它們希望能夠查看和控制數(shù)據(jù)中心內(nèi)的流量。該項目的目標是阻止數(shù)據(jù)中心攻擊的橫向傳播。MacDonald解釋稱，如果有惡意行為者侵入，該項目能夠阻止他們在網(wǎng)絡中肆意移動。
小貼士：將數(shù)據(jù)流量可視化作為微分段的起點，但切記，不要進行過度細分。從關(guān)鍵的應用程序開始，并要求供應商支持本地分段。
6.檢測和響應
該項目主要針對那些知道泄露是不可避免的，并且正在尋找端點、網(wǎng)絡或基于用戶的方法，從而來實現(xiàn)高級威脅檢測、調(diào)查和響應能力的企業(yè)。主要有以下三種變量可供選擇：
· 終端防護平臺（EPP）+增強數(shù)據(jù)傳輸速率（enhanced data rate，簡稱EDR）；
· 個體用戶與實體行為分析（UEBA）；
· 欺詐；
對于那些正在尋找深入的方法，來加強其威脅檢測機制和高保真事件的企業(yè)而言，后者是一個規(guī)模較小但理想的新興市場。
小貼士：迫使終端防護平臺（EPP）供應商提供增強數(shù)據(jù)傳輸速率（EDR），安全信息與事件管理（SIEM）供應商提供個體用戶與實體行為分析（UEBA）能力。需要制定豐富的目標欺騙內(nèi)容。考慮直接從供應商處獲取存儲數(shù)據(jù)寄存器（MDR）“快捷（lite）”服務。
7.云安全態(tài)勢管理（CSPM）
該項目主要針對那些考慮對其基礎設施即服務（IaaS）或平臺即服務（PaaS）云安全態(tài)勢進行全面、自動化評估，以確定過度風險（excessive risk）領域的組織。組織可以從很多供應商（包括云訪問安全代理商CASB）中進行選擇。
小貼士：如果您擁有的是單一的基礎設施即服務（IaaS），請首先考慮亞馬遜和微軟。將此作為對云安全態(tài)勢管理提供商的一項要求。
8.自動化安全掃描
該項目主要針對那些希望將安全控制措施集成到DevOps模式工作流中的組織。從進行開源軟件組合分析開始，將測試集成為DevSecOps工作流（包括容器在內(nèi)）中的無縫部分。
小貼士：不要讓開發(fā)人員切換工具。要求全應用程序接口（API）支持自動化。
9.云訪問安全代理商（CASB）
該項目主要針對那些擁有移動勞動力，且尋找對多企業(yè)、基于云的服務進行可視化以及基于策略的管理控制點的組織。
小貼士：利用數(shù)據(jù)發(fā)現(xiàn)證明該項目的合理性。將敏感數(shù)據(jù)發(fā)現(xiàn)與監(jiān)控作為2018年與2019年的一個關(guān)鍵使用案例。
10.軟件定義邊界（SDP）
該項目主要針對那些希望通過限制數(shù)字系統(tǒng)和信息曝光度，僅在外部合作伙伴、遠程工作人員和承包商之間實現(xiàn)數(shù)字與信息可見，來最大限度減少攻擊面的組織。