薄弱的內(nèi)部代碼��、云環(huán)境下數(shù)據(jù)以及物聯(lián)網(wǎng)將成為下一階段攻擊活動(dòng)的主要對(duì)象����。
IT 安全人員需要更好地應(yīng)對(duì)已知風(fēng)險(xiǎn)�����、密切關(guān)注影子 IT 設(shè)備帶來(lái)的價(jià)值���,同時(shí)解決由物聯(lián)網(wǎng)裝置引入所帶來(lái)的相應(yīng)漏洞,Gartner方面表示����。作為一家咨詢企業(yè),Gartner 在今年年 內(nèi)著眼于五大關(guān)鍵性安全關(guān)注方向�����,并立足于此提出與之相關(guān)的威脅預(yù)測(cè)與安全建議���。而這五大關(guān)注方向分別為威脅與漏洞管理��、應(yīng)用與數(shù)據(jù)安全�、網(wǎng)絡(luò)與移動(dòng)安全����、身份與訪問(wèn)管理外加物聯(lián)網(wǎng)安全。Gartner 公司的分析結(jié)論由分析師 Earl Perkins 在最近的安全與風(fēng)險(xiǎn)管理峰會(huì)上正式公布��。而其中最為重要的建議在于��,努力避免破壞性后果式的安全管理策略已經(jīng)無(wú)法為企業(yè)帶來(lái)切實(shí)有效的保護(hù)����。
他同時(shí)建議稱(chēng),安全人員應(yīng)當(dāng)根據(jù)可能影響到企業(yè)及其業(yè)務(wù)目標(biāo)的已知風(fēng)險(xiǎn)進(jìn)行網(wǎng)絡(luò)與資源保護(hù)決策���。相較于單純扮演保護(hù)者的角色���,如今他們應(yīng)當(dāng)將安全工作視為促進(jìn)并保障業(yè)務(wù)成果的手段。
下面來(lái)看各具體預(yù)測(cè)與建議內(nèi)容:
威脅與漏洞管理
預(yù)測(cè):到 2020年���,99%的漏洞利用行為都將每年至少出現(xiàn)一次����,安全與 IT 專(zhuān)業(yè)人士必須對(duì)此做好心理準(zhǔn)備����。
攻擊者們?cè)絹?lái)越多地著眼于應(yīng)用程序中的漏洞以及可利用配置失誤,而企業(yè)必須采取快節(jié)奏方式修復(fù)這些漏洞�����。如果做不到這一點(diǎn),那么系統(tǒng)受損與數(shù)據(jù)泄露將給其帶來(lái)可怕的經(jīng)濟(jì)損失��。
預(yù)測(cè):到 2020年���,成功入侵企業(yè)的攻擊活動(dòng)中約有三分之一源自影子 IT����。
對(duì)于越來(lái)越多業(yè)務(wù)部門(mén)在不知會(huì)安全團(tuán)隊(duì)的情況下采用新技術(shù)的行為����,安全人員必須加以關(guān)注,Perkins 指出�。事實(shí)上,大多數(shù)此類(lèi)新型技術(shù)還不夠成熟��,且其中包含有可被用于攻擊活動(dòng)的安全漏洞��。
應(yīng)用與數(shù)據(jù)安全
預(yù)測(cè):到 2018年����,對(duì)公有云內(nèi)數(shù)據(jù)的保護(hù)需求將使得 20%企業(yè)開(kāi)發(fā)出數(shù)據(jù)安全治理方案。
數(shù)據(jù)安全治理工作將受到保險(xiǎn)企業(yè)的大力推動(dòng)�,而尚不具備相當(dāng)治理方案的企業(yè)在投保時(shí)將面臨更為高昂的保費(fèi)標(biāo)準(zhǔn)。
預(yù)測(cè):到 2020年,在采納 DevOps 理念的企業(yè)中�����,將有 40%通過(guò)部署應(yīng)用安全自測(cè)試�、自診斷與自保護(hù)技術(shù)實(shí)現(xiàn)應(yīng)用安全保護(hù)。
Perkins 在這里將運(yùn)行時(shí)應(yīng)用自保護(hù)(簡(jiǎn)稱(chēng) RASP)這正在發(fā)展的技術(shù)方案視為解決應(yīng)用內(nèi)安全漏洞的重要手段�,它也將為 DevOps 團(tuán)隊(duì)快速行動(dòng)方針下可能帶來(lái)的潛在問(wèn)題找到解決辦法�。RASP 能夠快速起效并準(zhǔn)確地提供與實(shí)際漏洞相關(guān)的保護(hù)機(jī)制,他解釋稱(chēng)����。
網(wǎng)絡(luò)與移動(dòng)安全
” 預(yù)測(cè):到 2020年,80%的云訪問(wèn)安全代理(簡(jiǎn)稱(chēng) CASB)業(yè)務(wù)將包含網(wǎng)絡(luò)防火墻�、安全 Web 網(wǎng)關(guān)(簡(jiǎn)稱(chēng) SWG)以及 Web 應(yīng)用防火墻(簡(jiǎn)稱(chēng) WAF)平臺(tái)。
傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品——例如防火墻�����、SWG 以及 WAF——供應(yīng)商希望幫助其客戶保護(hù) SaaS 應(yīng)用���,而 CASB 能夠高效實(shí)現(xiàn)這項(xiàng)工作���,他指出。企業(yè)客戶應(yīng)當(dāng)根據(jù)自身應(yīng)用部署評(píng)估是否有必要采用 CASB,同時(shí)考慮目前各傳統(tǒng)技術(shù)供應(yīng)商提供的對(duì)應(yīng)報(bào)價(jià)����。
身份與訪問(wèn)管理
預(yù)測(cè):到 2019年,40%的身份即服務(wù)(簡(jiǎn)稱(chēng) IDaaS)方案將取代內(nèi)部 IAM 方案��,遠(yuǎn)高于目前的 10%�。
IDaaS 使用比例的提升意味著 IAM 基礎(chǔ)設(shè)施的生存空間將逐漸被其擠占,而其它即服務(wù)類(lèi)型方案的普及則將提升決策制定效果��。越來(lái)越多的 Web 與移動(dòng)應(yīng)用產(chǎn)品將促使企業(yè)自發(fā)地由內(nèi)部 IAM 轉(zhuǎn)向 IDaaS���,他表示����。
預(yù)測(cè):到 2019年��,在中等風(fēng)險(xiǎn)用例內(nèi)���,密碼與令牌使用比例將降低 55%��,其它新型識(shí)別技術(shù)將取而代之���。
隨著生物識(shí)別準(zhǔn)確度的提升與成本的不斷下降�����,其已經(jīng)成為驗(yàn)證體系中一大相當(dāng)可行的選項(xiàng)��。將用戶特征與行為習(xí)慣分析加以結(jié)合��,這項(xiàng)技術(shù)能夠帶來(lái)更為出色的驗(yàn)證成效�����,Perkins 解釋稱(chēng)。
物聯(lián)網(wǎng)安全
預(yù)測(cè):從現(xiàn)在開(kāi)始到 2018年�����,超過(guò)半數(shù)物聯(lián)網(wǎng)設(shè)備制造商將由于薄弱的驗(yàn)證實(shí)踐方案而無(wú)法保障產(chǎn)品安全����。
物聯(lián)網(wǎng)設(shè)備目前在制造過(guò)程中仍然很少考慮到安全性需求,而且由于其存在于網(wǎng)絡(luò)環(huán)境中���,因此一旦出現(xiàn)惡意入侵����,其很可能造成網(wǎng)絡(luò)受損及數(shù)據(jù)泄露,Perkins 強(qiáng)調(diào)道�����。企業(yè)需要利用一套框架來(lái)檢測(cè)各物聯(lián)網(wǎng)設(shè)備類(lèi)型的風(fēng)險(xiǎn)��,并對(duì)其加以有效控制����。
預(yù)測(cè):到 2020年,將有超過(guò)四分之一企業(yè)切實(shí)引入物聯(lián)網(wǎng)方案���,然而相關(guān) IT 安全預(yù)算卻只占總額中的 10%�。
由于安全專(zhuān)家無(wú)法確認(rèn)物聯(lián)網(wǎng)設(shè)備對(duì)于企業(yè)安全造成的具體影響�,因此業(yè)務(wù)部門(mén)需要介入進(jìn)入,立足于使用方式思考潛在風(fēng)險(xiǎn)��。安全專(zhuān)家應(yīng)當(dāng)根據(jù)需要為物聯(lián)網(wǎng)安全工作劃撥整體安全預(yù)算的 5%到 10%比例�����,他指出���。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無(wú)意����。如您是字體廠商、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材��,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟(jì)賠償����!敬請(qǐng)諒解����!
粵公網(wǎng)安備 44030402000264號(hào)