IT安全人員需要更好地應(yīng)對已知風(fēng)險(xiǎn)、密切關(guān)注影子IT設(shè)備帶來的價(jià)值，同時(shí)解決由物聯(lián)網(wǎng)裝置引入所帶來的相應(yīng)漏洞

薄弱的內(nèi)部代碼、云環(huán)境下數(shù)據(jù)以及物聯(lián)網(wǎng)將成為下一階段攻擊活動(dòng)的主要對象。

IT 安全人員需要更好地應(yīng)對已知風(fēng)險(xiǎn)、密切關(guān)注影子 IT 設(shè)備帶來的價(jià)值,同時(shí)解決由物聯(lián)網(wǎng)裝置引入所帶來的相應(yīng)漏洞,Gartner 方面表示。

作為一家咨詢企業(yè),Gartner 在今年年 內(nèi)著眼于五大關(guān)鍵性安全關(guān)注方向,并立足于此提出與之相關(guān)的威脅預(yù)測與安全建議。

而這五大關(guān)注方向分別為威脅與漏洞管理、應(yīng)用與數(shù)據(jù)安全、網(wǎng)絡(luò)與移動(dòng)安全、身份與訪問管理外加物聯(lián)網(wǎng)安全。Gartner 公司的分析結(jié)論由分析師 Earl Perkins 在最近的安全與風(fēng)險(xiǎn)管理峰會(huì)上正式公布。

而其中最為重要的建議在于,努力避免破壞性后果式的安全管理策略已經(jīng)無法為企業(yè)帶來切實(shí)有效的保護(hù)。

他同時(shí)建議稱,安全人員應(yīng)當(dāng)根據(jù)可能影響到企業(yè)及其業(yè)務(wù)目標(biāo)的已知風(fēng)險(xiǎn)進(jìn)行網(wǎng)絡(luò)與資源保護(hù)決策。相較于單純扮演保護(hù)者的角色,如今他們應(yīng)當(dāng)將安全工作視為促進(jìn)并保障業(yè)務(wù)成果的手段。

下面來看各具體預(yù)測與建議內(nèi)容:

威脅與漏洞管理

預(yù)測:到 2020年,99%的漏洞利用行為都將每年至少出現(xiàn)一次,安全與 IT 專業(yè)人士必須對此做好心理準(zhǔn)備。

攻擊者們越來越多地著眼于應(yīng)用程序中的漏洞以及可利用配置失誤,而企業(yè)必須采取快節(jié)奏方式修復(fù)這些漏洞。如果做不到這一點(diǎn),那么系統(tǒng)受損與數(shù)據(jù)泄露將給其帶來可怕的經(jīng)濟(jì)損失。

預(yù)測:到 2020年,成功入侵企業(yè)的攻擊活動(dòng)中約有三分之一源自影子 IT。

對于越來越多業(yè)務(wù)部門在不知會(huì)安全團(tuán)隊(duì)的情況下采用新技術(shù)的行為,安全人員必須加以關(guān)注,Perkins 指出。事實(shí)上,大多數(shù)此類新型技術(shù)還不夠成熟,且其中包含有可被用于攻擊活動(dòng)的安全漏洞。

應(yīng)用與數(shù)據(jù)安全

預(yù)測:到 2018年,對公有云內(nèi)數(shù)據(jù)的保護(hù)需求將使得 20%企業(yè)開發(fā)出數(shù)據(jù)安全治理方案。

數(shù)據(jù)安全治理工作將受到保險(xiǎn)企業(yè)的大力推動(dòng),而尚不具備相當(dāng)治理方案的企業(yè)在投保時(shí)將面臨更為高昂的保費(fèi)標(biāo)準(zhǔn)。

預(yù)測:到 2020年,在采納 DevOps 理念的企業(yè)中,將有 40%通過部署應(yīng)用安全自測試、自診斷與自保護(hù)技術(shù)實(shí)現(xiàn)應(yīng)用安全保護(hù)。

Perkins 在這里將運(yùn)行時(shí)應(yīng)用自保護(hù)(簡稱 RASP)這正在發(fā)展的技術(shù)方案視為解決應(yīng)用內(nèi)安全漏洞的重要手段,它也將為 DevOps 團(tuán)隊(duì)快速行動(dòng)方針下可能帶來的潛在問題找到解決辦法。RASP 能夠快速起效并準(zhǔn)確地提供與實(shí)際漏洞相關(guān)的保護(hù)機(jī)制,他解釋稱。

網(wǎng)絡(luò)與移動(dòng)安全

預(yù)測:到 2020年,80%的云訪問安全代理(簡稱 CASB)業(yè)務(wù)將包含網(wǎng)絡(luò)防火墻、安全 Web 網(wǎng)關(guān)(簡稱 SWG)以及 Web 應(yīng)用防火墻(簡稱 WAF)平臺(tái)。

傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品——例如防火墻、SWG 以及 WAF——供應(yīng)商希望幫助其客戶保護(hù) SaaS 應(yīng)用,而 CASB 能夠高效實(shí)現(xiàn)這項(xiàng)工作,他指出。企業(yè)客戶應(yīng)當(dāng)根據(jù)自身應(yīng)用部署評估是否有必要采用 CASB,同時(shí)考慮目前各傳統(tǒng)技術(shù)供應(yīng)商提供的對應(yīng)報(bào)價(jià)。

身份與訪問管理

預(yù)測:到 2019年,40%的身份即服務(wù)(簡稱 IDaaS)方案將取代內(nèi)部 IAM 方案,遠(yuǎn)高于目前的 10%。

IDaaS 使用比例的提升意味著 IAM 基礎(chǔ)設(shè)施的生存空間將逐漸被其擠占,而其它即服務(wù)類型方案的普及則將提升決策制定效果。越來越多的 Web 與移動(dòng)應(yīng)用產(chǎn)品將促使企業(yè)自發(fā)地由內(nèi)部 IAM 轉(zhuǎn)向 IDaaS,他表示。

預(yù)測:到 2019年,在中等風(fēng)險(xiǎn)用例內(nèi),密碼與令牌使用比例將降低 55%,其它新型識(shí)別技術(shù)將取而代之。

隨著生物識(shí)別準(zhǔn)確度的提升與成本的不斷下降,其已經(jīng)成為驗(yàn)證體系中一大相當(dāng)可行的選項(xiàng)。將用戶特征與行為習(xí)慣分析加以結(jié)合,這項(xiàng)技術(shù)能夠帶來更為出色的驗(yàn)證成效,Perkins 解釋稱。

物聯(lián)網(wǎng)安全

預(yù)測:從現(xiàn)在開始到 2018年,超過半數(shù)物聯(lián)網(wǎng)設(shè)備制造商將由于薄弱的驗(yàn)證實(shí)踐方案而無法保障產(chǎn)品安全。

物聯(lián)網(wǎng)設(shè)備目前在制造過程中仍然很少考慮到安全性需求,而且由于其存在于網(wǎng)絡(luò)環(huán)境中,因此一旦出現(xiàn)惡意入侵,其很可能造成網(wǎng)絡(luò)受損及數(shù)據(jù)泄露,Perkins 強(qiáng)調(diào)道。企業(yè)需要利用一套框架來檢測各物聯(lián)網(wǎng)設(shè)備類型的風(fēng)險(xiǎn),并對其加以有效控制。

預(yù)測:到 2020年,將有超過四分之一企業(yè)切實(shí)引入物聯(lián)網(wǎng)方案,然而相關(guān) IT 安全預(yù)算卻只占總額中的 10%。

由于安全專家無法確認(rèn)物聯(lián)網(wǎng)設(shè)備對于企業(yè)安全造成的具體影響,因此業(yè)務(wù)部門需要介入進(jìn)入,立足于使用方式思考潛在風(fēng)險(xiǎn)。安全專家應(yīng)當(dāng)根據(jù)需要為物聯(lián)網(wǎng)安全工作劃撥整體安全預(yù)算的 5%到 10%比例,他指出。