IT安全人員需要更好地應(yīng)對已知風(fēng)險、密切關(guān)注影子IT設(shè)備帶來的價值，同時解決由物聯(lián)網(wǎng)裝置引入所帶來的相應(yīng)漏洞薄弱的內(nèi)部代碼、云環(huán)境下數(shù)據(jù)以及物聯(lián)網(wǎng)將成為下一階段攻擊活動的主要對象。

IT 安全人員需要更好地應(yīng)對已知風(fēng)險、密切關(guān)注影子 IT 設(shè)備帶來的價值,同時解決由物聯(lián)網(wǎng)裝置引入所帶來的相應(yīng)漏洞,Gartner 方面表示。

作為一家咨詢企業(yè),Gartner 在今年年 內(nèi)著眼于五大關(guān)鍵性安全關(guān)注方向,并立足于此提出與之相關(guān)的威脅預(yù)測與安全建議。

而這五大關(guān)注方向分別為威脅與漏洞管理、應(yīng)用與數(shù)據(jù)安全、網(wǎng)絡(luò)與移動安全、身份與訪問管理外加物聯(lián)網(wǎng)安全。Gartner 公司的分析結(jié)論由分析師 Earl Perkins 在最近的安全與風(fēng)險管理峰會上正式公布。

而其中最為重要的建議在于,努力避免破壞性后果式的安全管理策略已經(jīng)無法為企業(yè)帶來切實有效的保護。

他同時建議稱,安全人員應(yīng)當根據(jù)可能影響到企業(yè)及其業(yè)務(wù)目標的已知風(fēng)險進行網(wǎng)絡(luò)與資源保護決策。相較于單純扮演保護者的角色,如今他們應(yīng)當將安全工作視為促進并保障業(yè)務(wù)成果的手段。

下面來看各具體預(yù)測與建議內(nèi)容:

　　威脅與漏洞管理

預(yù)測:到 2020年,99%的漏洞利用行為都將每年至少出現(xiàn)一次,安全與 IT 專業(yè)人士必須對此做好心理準備。

攻擊者們越來越多地著眼于應(yīng)用程序中的漏洞以及可利用配置失誤,而企業(yè)必須采取快節(jié)奏方式修復(fù)這些漏洞。如果做不到這一點,那么系統(tǒng)受損與數(shù)據(jù)泄露將給其帶來可怕的經(jīng)濟損失。

預(yù)測:到 2020年,成功入侵企業(yè)的攻擊活動中約有三分之一源自影子 IT。

對于越來越多業(yè)務(wù)部門在不知會安全團隊的情況下采用新技術(shù)的行為,安全人員必須加以關(guān)注,Perkins 指出。事實上,大多數(shù)此類新型技術(shù)還不夠成熟,且其中包含有可被用于攻擊活動的安全漏洞。

　　應(yīng)用與數(shù)據(jù)安全

預(yù)測:到 2018年,對公有云內(nèi)數(shù)據(jù)的保護需求將使得 20%企業(yè)開發(fā)出數(shù)據(jù)安全治理方案。

數(shù)據(jù)安全治理工作將受到保險企業(yè)的大力推動,而尚不具備相當治理方案的企業(yè)在投保時將面臨更為高昂的保費標準。

預(yù)測:到 2020年,在采納 DevOps 理念的企業(yè)中,將有 40%通過部署應(yīng)用安全自測試、自診斷與自保護技術(shù)實現(xiàn)應(yīng)用安全保護。

Perkins 在這里將運行時應(yīng)用自保護(簡稱 RASP)這正在發(fā)展的技術(shù)方案視為解決應(yīng)用內(nèi)安全漏洞的重要手段,它也將為 DevOps 團隊快速行動方針下可能帶來的潛在問題找到解決辦法。RASP 能夠快速起效并準確地提供與實際漏洞相關(guān)的保護機制,他解釋稱。

　　網(wǎng)絡(luò)與移動安全

預(yù)測:到 2020年,80%的云訪問安全代理(簡稱 CASB)業(yè)務(wù)將包含網(wǎng)絡(luò)防火墻、安全 Web 網(wǎng)關(guān)(簡稱 SWG)以及 Web 應(yīng)用防火墻(簡稱 WAF)平臺。

傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品——例如防火墻、SWG 以及 WAF——供應(yīng)商希望幫助其客戶保護 SaaS 應(yīng)用,而 CASB 能夠高效實現(xiàn)這項工作,他指出。企業(yè)客戶應(yīng)當根據(jù)自身應(yīng)用部署評估是否有必要采用 CASB,同時考慮目前各傳統(tǒng)技術(shù)供應(yīng)商提供的對應(yīng)報價。

　　身份與訪問管理

預(yù)測:到 2019年,40%的身份即服務(wù)(簡稱 IDaaS)方案將取代內(nèi)部 IAM 方案,遠高于目前的 10%。

IDaaS 使用比例的提升意味著 IAM 基礎(chǔ)設(shè)施的生存空間將逐漸被其擠占,而其它即服務(wù)類型方案的普及則將提升決策制定效果。越來越多的 Web 與移動應(yīng)用產(chǎn)品將促使企業(yè)自發(fā)地由內(nèi)部 IAM 轉(zhuǎn)向 IDaaS,他表示。

預(yù)測:到 2019年,在中等風(fēng)險用例內(nèi),密碼與令牌使用比例將降低 55%,其它新型識別技術(shù)將取而代之。

隨著生物識別準確度的提升與成本的不斷下降,其已經(jīng)成為驗證體系中一大相當可行的選項。將用戶特征與行為習(xí)慣分析加以結(jié)合,這項技術(shù)能夠帶來更為出色的驗證成效,Perkins 解釋稱。

　　物聯(lián)網(wǎng)安全

預(yù)測:從現(xiàn)在開始到 2018年,超過半數(shù)物聯(lián)網(wǎng)設(shè)備制造商將由于薄弱的驗證實踐方案而無法保障產(chǎn)品安全。

物聯(lián)網(wǎng)設(shè)備目前在制造過程中仍然很少考慮到安全性需求,而且由于其存在于網(wǎng)絡(luò)環(huán)境中,因此一旦出現(xiàn)惡意入侵,其很可能造成網(wǎng)絡(luò)受損及數(shù)據(jù)泄露,Perkins 強調(diào)道。企業(yè)需要利用一套框架來檢測各物聯(lián)網(wǎng)設(shè)備類型的風(fēng)險,并對其加以有效控制。

預(yù)測:到 2020年,將有超過四分之一企業(yè)切實引入物聯(lián)網(wǎng)方案,然而相關(guān) IT 安全預(yù)算卻只占總額中的 10%。

由于安全專家無法確認物聯(lián)網(wǎng)設(shè)備對于企業(yè)安全造成的具體影響,因此業(yè)務(wù)部門需要介入進入,立足于使用方式思考潛在風(fēng)險。安全專家應(yīng)當根據(jù)需要為物聯(lián)網(wǎng)安全工作劃撥整體安全預(yù)算的 5%到 10%比例,他指出。