在2017年6月份举办的第23届Gartner安全与风险管理峰会开幕式上，来自Gartner的三位VP级别的分析师（Ahlm, Krikken and Neil McDonald）分享一个题为《Manage Risk ,Build Trust, and Embrace Changes by Becoming Adaptive 》的大会主题演讲。在这个会议上，Gartner创造性地提出了一个全新的战略方法——持续自适应风险与信任评估（CARTA，Continuous Adaptive Risk and Trust Assessment），并对CARTA进行了详细的阐述，几乎将Gartner所有的研究领域，或者说当今安全的所有细分领域都涵盖其中。CARTA也展现出了Gartner作为北向安全顶尖高手的水平，现如今能够高屋建瓴给信息安全带大帽子的人真的很少啦，Neil McDonald是其中一位。

注意，我下面提到的CARTA演讲内容只有亲临现场才能看到，Gartner没有对外提供这套胶片。而我水平有限，也没能完全听明白其中奥义。所以，以下内容主要是本人自己的体会，如果与Gartner本意相抵，敬请见谅。以下图片来自现场拍照，如有模糊，也请谅解。

开场：零风险零回报、拥抱风险

演讲开始之前，主会场先播放了一段关于火灾的视频。画面显示展示美国荒野/森林大火的破坏性场景，然后又看到了火后次生林繁茂生长的画面。解说词主旨大意：火灾是风险，是破坏，但也是机遇，是生机。（美国）森林大火很多是自然（雷电等）引发的，有时是不可避免的。我们不能把所有的资源都投入到预防火灾中去，还需要投入资源到快速灭火中去。甚至有时候，我们要故意让放纵（森林）大火蔓延，因为这是自然的规律，火后会有新的生机。

这段视频是一个隐喻。其实是说，在当前数字经济时代，尽管面临比以往更加险峻的安全形势，但是我们依然要更加积极地去拥抱数字时代，去创造新的生产力。我们不能因为有危险就畏首畏脚。反过来看，畏首畏脚也于事无补，因为无论如何进行防守，敌人终究会攻进来。因此，与其畏首畏脚，不如积极拥抱风险，从风险中获取价值。有句话说的好：“没有风险就没有回报”。但是，我们也不能任由风险扩散，而是要控制风险到一个可接受的水平。所以，主旨是：我们要控制风险，而不要去消灭风险。

CARTA：持续自适应风险与信任战略方法

那么，如何控制风险？这就首先要知道好和坏，什么是***？什么是正常的业务访问？谁可以进来？谁不能进来？

如何判断好坏，这是个问题。以前，我们通过预先知道的规则/签名/ACL/……来判定好坏，但是随着高级威胁的日益频繁，依赖先验性的知识无法判定好与坏了。同理，我们现在也很难直接地去判定某个业务的安全风险，很难判定对内部员工、外部合作伙伴的信任度。

因此，Gartner推出了一个称作CARTA的战略方法，强调要持续地和自适应地对风险和信任两个要素进行评估。

风险，是指判定网络中安全风险，包括判定***、漏洞、违规、异常等等。持续自适应风险评估是从防护的角度看问题，力图识别出坏人（***、漏洞、威胁等）。说到风险，我认为是信息安全中一个很关键的词。现在我们更多听到的是威胁、数据，譬如以威胁为核心、数据驱动，等等，以风险为核心感觉过时了一样。其实，安全还真是要时时以风险为核心！数据、威胁、***、漏洞，资产、都是风险的要素和支撑。我们检测***，包括高级***，最终还是为了评估风险。

信任，是指判定身份，进行访问控制。持续自适应信任评估是从访问控制的角度看问题，力图识别出好人（授权、认证、访问）。

自适应，就是指我们在判定风险（包括***）的时候，不能仅仅依靠阻止措施，我们还要对网络进行细致地监测与响应，这其实就是ASA自适应安全架构的范畴。另一方面，在我们进行身份与访问控制的时候，也不能仅仅依靠简单的凭据，还需要根据访问的上下文和访问行为进行综合研判，动态赋权、动态变更权限。

持续，就是指这个风险和信任的研判过程是持续不断，反复多次进行的。

CARTA强调对风险和信任的评估分析，这个分析的过程就是一个权衡的过程。图中的天枰很形象地阐释了“权衡”（Balance）一词。

权衡的时候，切忌完美（Perfect），不能要求零风险，不能追求100%信任，否则业务就没法开展了。好的做法是不断地在0和1之间调整。

与此同时，这个权衡的过程就是CARTA引擎工作的过程。

CARTA引擎能够利用各种情境数据（如图蓝色漏斗中的各种数据），对一个访问行为，一个业务应用调用，一个网络活动进行持续地评估，动态地决定是阻断这次会话（图中下方红色部分），还是允许这次会话（图中下方绿色部分），抑或更多是采取介乎红色和绿色中间的行动（进一步判定、允许但只读、允许但审计，等等）。

从三个维度对数字化业务系统运用CARTA战略方法

接来下，Garnter从运行、构建和规划三个维度（反着讲）来分别讲解客户的业务系统如何运用CARTA战略方法。这里最厉害之处是Gartner将几乎所有他们以往定义的技术细分领域都囊括其中，而且十分自洽。

运行：自适应访问和自适应保护

访问，就是从信任的角度去进行访问控制；保护，就是从风险的角度去进行防御。

自适应保护其实就对应了Gartner的自适应安全架构。

在谈及保护的时候，Gartner提到了一个响亮的观点：利用纵深分析（Analytics in-depth）和自动化来进行保护。

1）  纵深分析：这是一个从纵深防御演进而来的术语，强调了随着安全问题逐渐变成大数据问题，而大数据问题正在转变成大分析问题，进而纵深防御也逐渐变成了纵深分析。纵深分析就是要对每个纵深所产生的大量数据进行分析研判，动态地去进行风险与信任评估，同时还要将不同纵深的数据进行融合分析。而所有这些分析，都是为了更好的检测，而检测是属于防护的一环（跟阻断、响应一起）。

2）  自动化：在安全保护中，自动化的本质是为了为快速的响应。

构建：开发与合作

开发安全的核心架构是DevSecOps。而合作就是构建生态系统。

规划：治理与评价

数字安全与风险管理的愿景

最后，讲演以构建数字时代业务安全与风险管理的愿景来结尾。

上图十分高大上。大意如下：

安全与风险战略的核心愿景是构建一个信任的和弹性的IT环境，使得企业能够顺利地、充分地参与到数字经济中去。

在数字时代的业务安全目标，除了传统的CIA，还包括PSR（隐私、安全safty、可靠），这也是因为大物移云的影响造成的，体现了现实与虚拟的融合。

要达成上述愿景与目标，需要构建以下四种能力：程序、原则、情境、智能。同时，还要构建一个自适应的、情境感知的安全架构（包括技术、流程和服务），以及一套行之有效的治理结构和流程。