Gartner：安全發展趨勢預測top10

it安全人員需要更好地應對已知風險、密切關注影子it裝置帶來的價值，同時解決由物聯網裝置引入所帶來的相應漏洞

薄弱的内部代碼、雲環境下資料以及物聯網将成為下一階段攻擊活動的主要對象。

it 安全人員需要更好地應對已知風險、密切關注影子 it 裝置帶來的價值,同時解決由物聯網裝置引入所帶來的相應漏洞,gartner 方面表示。

作為一家咨詢企業,gartner 在今年年 内着眼于五大關鍵性安全關注方向,并立足于此提出與之相關的威脅預測與安全建議。

而這五大關注方向分别為威脅與漏洞管理、應用與資料安全、網絡與移動安全、身份與通路管理外加物聯網安全。gartner 公司的分析結論由分析師 earl perkins 在最近的安全與風險管理峰會上正式公布。

而其中最為重要的建議在于,努力避免破壞性後果式的安全管理政策已經無法為企業帶來切實有效的保護。

他同時建議稱,安全人員應當根據可能影響到企業及其業務目标的已知風險進行網絡與資源保護決策。相較于單純扮演保護者的角色,如今他們應當将安全工作視為促進并保障業務成果的手段。

下面來看各具體預測與建議内容:

威脅與漏洞管理

預測:到 2020年,99%的漏洞利用行為都将每年至少出現一次,安全與 it 專業人士必須對此做好心理準備。

攻擊者們越來越多地着眼于應用程式中的漏洞以及可利用配置失誤,而企業必須采取快節奏方式修複這些漏洞。如果做不到這一點,那麼系統受損與資料洩露将給其帶來可怕的經濟損失。

預測:到 2020年,成功入侵企業的攻擊活動中約有三分之一源自影子 it。

對于越來越多業務部門在不知會安全團隊的情況下采用新技術的行為,安全人員必須加以關注,perkins 指出。事實上,大多數此類新型技術還不夠成熟,且其中包含有可被用于攻擊活動的安全漏洞。

應用與資料安全

預測:到 2018年,對公有雲内資料的保護需求将使得 20%企業開發出資料安全治理方案。

資料安全治理工作将受到保險企業的大力推動,而尚不具備相當治理方案的企業在投保時将面臨更為高昂的保費标準。

預測:到 2020年,在采納 devops 理念的企業中,将有 40%通過部署應用安全自測試、自診斷與自保護技術實作應用安全保護。

perkins 在這裡将運作時應用自保護(簡稱 rasp)這正在發展的技術方案視為解決應用内安全漏洞的重要手段,它也将為 devops 團隊快速行動方針下可能帶來的潛在問題找到解決辦法。rasp 能夠快速起效并準确地提供與實際漏洞相關的保護機制,他解釋稱。

網絡與移動安全

預測:到 2020年,80%的雲通路安全代理(簡稱 casb)業務将包含網絡防火牆、安全 web 網關(簡稱 swg)以及 web 應用防火牆(簡稱 waf)平台。

傳統網絡安全産品——例如防火牆、swg 以及 waf——供應商希望幫助其客戶保護 saas 應用,而 casb 能夠高效實作這項工作,他指出。企業客戶應當根據自身應用部署評估是否有必要采用 casb,同時考慮目前各傳統技術供應商提供的對應報價。

身份與通路管理

預測:到 2019年,40%的身份即服務(簡稱 idaas)方案将取代内部 iam 方案,遠高于目前的 10%。

idaas 使用比例的提升意味着 iam 基礎設施的生存空間将逐漸被其擠占,而其它即服務類型方案的普及則将提升決策制定效果。越來越多的 web 與移動應用産品将促使企業自發地由内部 iam 轉向 idaas,他表示。

預測:到 2019年,在中等風險用例内,密碼與令牌使用比例将降低 55%,其它新型識别技術将取而代之。

随着生物識别準确度的提升與成本的不斷下降,其已經成為驗證體系中一大相當可行的選項。将使用者特征與行為習慣分析加以結合,這項技術能夠帶來更為出色的驗證成效,perkins 解釋稱。

物聯網安全

預測:從現在開始到 2018年,超過半數物聯網裝置制造商将由于薄弱的驗證明踐方案而無法保障産品安全。

物聯網裝置目前在制造過程中仍然很少考慮到安全性需求,而且由于其存在于網絡環境中,是以一旦出現惡意入侵,其很可能造成網絡受損及資料洩露,perkins 強調道。企業需要利用一套架構來檢測各物聯網裝置類型的風險,并對其加以有效控制。

預測:到 2020年,将有超過四分之一企業切實引入物聯網方案,然而相關 it 安全預算卻隻占總額中的 10%。

由于安全專家無法确認物聯網裝置對于企業安全造成的具體影響,是以業務部門需要介入進入,立足于使用方式思考潛在風險。安全專家應當根據需要為物聯網安全工作劃撥整體安全預算的 5%到 10%比例,他指出。

====================================分割線================================

本文轉自d1net（轉載）