Gartner：企业安全10大趋势预测

【安防在线 www.anfang.cn】　　最近咨询公司Gartner表态说，现如今的IT安全专家本身需要具备更高的素质，比如解决已知风险的能力更出色，更深入地监控shadow IT设备的价值，解决IoT物联网设备产生的固有缺陷等。

这席话并非空穴来风。为佐证这一点，Garnter总结了今年企业面临安全问题的5个核心领域，还做出了未来趋势的预测，并且就保护网络和数据免受威胁的问题，给出了一些建议。

　　这5个核心领域分别是：威胁与漏洞管理，应用与数据安全，网络与移动安全，身份与访问管理，IoT物联网安全。这些内容是Gartner分析师Earl Perkins在安全与风险管理峰会(Security and Risk Management Summit)上发布的。

Perkins给安全专家的建议包括，安全专家需要基于企业已经存在的安全问题，做出保护网络和资源的相应决策，为企业的发展做贡献，而不是单纯地进行保护。总得说来，以下所有建议的最高准则仍然是：企业必须建立起一个基本意识，企图推迟在安全措施方面的投入，期望业务得到连续发展，这是完全错误的经济策略，最终根本不会起到省钱的作用。具体的预测和建议内容如下：

安全与漏洞管理“2020年，可利用的漏洞中，有99%乃是安全和IT专家们已知的、存在至少1年以上的漏洞。”

这席话的意思是说，到2020年的时候，安全和IT专家们可能仍旧不会太注重漏洞修复问题，所以那个时候绝大部分可以利用的漏洞都还是老漏洞。

攻击者一直在寻找应用中的漏洞，以及可利用的设置BUG，所以对企业而言，及时修复漏洞显得尤为重要。如果企业没有即时修复漏洞，系统损坏、数据窃取必然会导致经济损失。

“2020年，企业遭遇到的1/3的有效攻击，将是针对其Shadow IT资源的。”

绝大部分企业用户对Shadow IT这个词应该早就不陌生了。云安全联盟对Shadow IT的定义是“在企业IT部门以外产生的技术投入和部署，包括个别员工、团队和业务部门采用的云应用程序”。

Perkins表示，很多企业引入的新技术，是在尚未得到安全团队的审查之后，就引入到企业中的。这些技术的确都是新技术，但也包含着很多问题，也就让企业更容易遭受攻击了。

应用与数据安全“2018年，防止公有云数据被窃取将成为重要需求，这种需求会促使20%的组织机构开发数据安全管理程序。”

Perkins认为，保险公司将来会促进数据安全管理的发展，因为网络保险费用将来应该会根据这些数据安全管理程序是否在企业中正确部署来设定。

“2020年，40%从事开发运营(DevOps)的企业，会采用应用安全自我测试、自我诊断、自我保护的技术，来保护开发应用的安全。”

这里Perkins谈到的其实是一种比较成熟的技术，名为RASP–运行时应用自我保护(Runtime Application Self-Protection)。在开发运营团队快节奏的工作中，这种技术能够一定程度预防安全问题。他说，RASP能够针对可被利用的漏洞，快速工作、准确提供防护。

网络与移动安全“2020年，80%的CASB云安全接入(Cloud-Access Security Brokers)服务交易，都会带上网络防火墙、Secure Web Gateway，以及Web应用防火墙(WAF)平台。”

这句话的意思是说，将来如果你购买CASB云安全接入服务，那么一般肯定还会带上网络防火墙、SWG和WAF平台。

传统网络安全产品提供商，其实都想成为客户保护其SaaS应用的选择。Perkins建议，企业应该根据自己的应用部署计划，评估CASB服务的可行性，并且应该考虑采用传统技术供应商的这些产品–也就是上面提到的网络防火墙、SWG网关、WAF防火墙。

身份与访问管理“2019年，40%的IDaaS(ID即服务)实现，将会替代本地部署的IAM实现，相比现如今提升10%。”

IAM也就是身份访问管理了。IDaaS使用率的提升，一定程度是因为内部部署IAM设施的难度和成本都比较大。用老外的话来说，各种something-as-a-service方式正在快速成长，所以很多企业用户也会选择IDaaS。Perkins也说，越来越多Web和移动应用的出现，也是从IAM转往IDaaS的重要时机。

“2019年，在中等风险的使用场景下，密码和令牌的使用率将会减少55%，这与识别技术的发展是分不开的。”

生物计量技术，或者叫生物识别技术的成本越来越低，准确性也变得很高。所以生物识别也就成为身份认证的绝佳选择，比如指纹识别、虹膜识别等。Perkins认为，将用户体征和实体行为分析结合起来，在应用到中等信任级别的场景中时，这项技术会相当有前途。

IoT物联网安全“整个2018年，超过50%的IoT设备制造商，将无法解决薄弱的身份认证方案造成的安全威胁。”

当前IoT设备的制造，很大程度上还是没有考虑到安全性问题，有些安全问题存在于网络中。如果这样的安全问题遭到利用，就会将整个内部网络暴露在外，数据也会被窃取。企业因此需要搭建起一个框架，这个框架可用于评估每一类IoT设备存在的风险，以及处理这些风险的合理手段。

“到2020年，超过25%已被识别的企业攻击将会涉及到IoT，而IoT那时将占到IT安全预算的10%左右。”

企业的安全专家还无法知晓IoT设备对企业的重要性，但需要用到这类设备的企业还是需要了解其安全风险。Perkins认为，安全专家门理应在IT安全预算中，为IoT设备拨出大约5%-10%的预算，用于监控和保护这些设备。