IT安全人員需要更好地應對已知風險、密切關注影子IT設備帶來的價值，同時解決由物聯網裝置引入所帶來的相應漏洞薄弱的內部代碼、云環境下數據以及物聯網將成為下一階段攻擊活動的主要對象。

IT 安全人員需要更好地應對已知風險、密切關注影子 IT 設備帶來的價值,同時解決由物聯網裝置引入所帶來的相應漏洞,Gartner 方面表示。

作為一家咨詢企業,Gartner 在今年年 內著眼于五大關鍵性安全關注方向,并立足于此提出與之相關的威脅預測與安全建議。

而這五大關注方向分別為威脅與漏洞管理、應用與數據安全、網絡與移動安全、身份與訪問管理外加物聯網安全。Gartner 公司的分析結論由分析師 Earl Perkins 在最近的安全與風險管理峰會上正式公布。

而其中最為重要的建議在于,努力避免破壞性后果式的安全管理策略已經無法為企業帶來切實有效的保護。

他同時建議稱,安全人員應當根據可能影響到企業及其業務目標的已知風險進行網絡與資源保護決策。相較于單純扮演保護者的角色,如今他們應當將安全工作視為促進并保障業務成果的手段。

下面來看各具體預測與建議內容:

　　威脅與漏洞管理

預測:到 2020年,99%的漏洞利用行為都將每年至少出現一次,安全與 IT 專業人士必須對此做好心理準備。

攻擊者們越來越多地著眼于應用程序中的漏洞以及可利用配置失誤,而企業必須采取快節奏方式修復這些漏洞。如果做不到這一點,那么系統受損與數據泄露將給其帶來可怕的經濟損失。

預測:到 2020年,成功入侵企業的攻擊活動中約有三分之一源自影子 IT。

對于越來越多業務部門在不知會安全團隊的情況下采用新技術的行為,安全人員必須加以關注,Perkins 指出。事實上,大多數此類新型技術還不夠成熟,且其中包含有可被用于攻擊活動的安全漏洞。

　　應用與數據安全

預測:到 2018年,對公有云內數據的保護需求將使得 20%企業開發出數據安全治理方案。

數據安全治理工作將受到保險企業的大力推動,而尚不具備相當治理方案的企業在投保時將面臨更為高昂的保費標準。

預測:到 2020年,在采納 DevOps 理念的企業中,將有 40%通過部署應用安全自測試、自診斷與自保護技術實現應用安全保護。

Perkins 在這里將運行時應用自保護(簡稱 RASP)這正在發展的技術方案視為解決應用內安全漏洞的重要手段,它也將為 DevOps 團隊快速行動方針下可能帶來的潛在問題找到解決辦法。RASP 能夠快速起效并準確地提供與實際漏洞相關的保護機制,他解釋稱。

　　網絡與移動安全

預測:到 2020年,80%的云訪問安全代理(簡稱 CASB)業務將包含網絡防火墻、安全 Web 網關(簡稱 SWG)以及 Web 應用防火墻(簡稱 WAF)平臺。

傳統網絡安全產品——例如防火墻、SWG 以及 WAF——供應商希望幫助其客戶保護 SaaS 應用,而 CASB 能夠高效實現這項工作,他指出。企業客戶應當根據自身應用部署評估是否有必要采用 CASB,同時考慮目前各傳統技術供應商提供的對應報價。

　　身份與訪問管理

預測:到 2019年,40%的身份即服務(簡稱 IDaaS)方案將取代內部 IAM 方案,遠高于目前的 10%。

IDaaS 使用比例的提升意味著 IAM 基礎設施的生存空間將逐漸被其擠占,而其它即服務類型方案的普及則將提升決策制定效果。越來越多的 Web 與移動應用產品將促使企業自發地由內部 IAM 轉向 IDaaS,他表示。

預測:到 2019年,在中等風險用例內,密碼與令牌使用比例將降低 55%,其它新型識別技術將取而代之。

隨著生物識別準確度的提升與成本的不斷下降,其已經成為驗證體系中一大相當可行的選項。將用戶特征與行為習慣分析加以結合,這項技術能夠帶來更為出色的驗證成效,Perkins 解釋稱。

　　物聯網安全

預測:從現在開始到 2018年,超過半數物聯網設備制造商將由于薄弱的驗證實踐方案而無法保障產品安全。

物聯網設備目前在制造過程中仍然很少考慮到安全性需求,而且由于其存在于網絡環境中,因此一旦出現惡意入侵,其很可能造成網絡受損及數據泄露,Perkins 強調道。企業需要利用一套框架來檢測各物聯網設備類型的風險,并對其加以有效控制。

預測:到 2020年,將有超過四分之一企業切實引入物聯網方案,然而相關 IT 安全預算卻只占總額中的 10%。

由于安全專家無法確認物聯網設備對于企業安全造成的具體影響,因此業務部門需要介入進入,立足于使用方式思考潛在風險。安全專家應當根據需要為物聯網安全工作劃撥整體安全預算的 5%到 10%比例,他指出。