薄弱的內(nèi)部代碼�����、云環(huán)境下數(shù)據(jù)以及物聯(lián)網(wǎng)將成為下一階段攻擊活動的主要對象。
IT 安全人員需要更好地應對已知風險、密切關(guān)注影子 IT 設(shè)備帶來的價值��,同時解決由物聯(lián)網(wǎng)裝置引入所帶來的相應漏洞���,Gartner方面表示。作為一家咨詢企業(yè)�����,Gartner 在今年年 內(nèi)著眼于五大關(guān)鍵性安全關(guān)注方向�����,并立足于此提出與之相關(guān)的威脅預測與安全建議����。而這五大關(guān)注方向分別為威脅與漏洞管理、應用與數(shù)據(jù)安全����、網(wǎng)絡(luò)與移動安全、身份與訪問管理外加物聯(lián)網(wǎng)安全�。Gartner 公司的分析結(jié)論由分析師 Earl Perkins 在最近的安全與風險管理峰會上正式公布。而其中最為重要的建議在于�,努力避免破壞性后果式的安全管理策略已經(jīng)無法為企業(yè)帶來切實有效的保護。
他同時建議稱����,安全人員應當根據(jù)可能影響到企業(yè)及其業(yè)務目標的已知風險進行網(wǎng)絡(luò)與資源保護決策。相較于單純扮演保護者的角色���,如今他們應當將安全工作視為促進并保障業(yè)務成果的手段���。
下面來看各具體預測與建議內(nèi)容:
威脅與漏洞管理
預測:到 2020年,99%的漏洞利用行為都將每年至少出現(xiàn)一次�����,安全與 IT 專業(yè)人士必須對此做好心理準備。
攻擊者們越來越多地著眼于應用程序中的漏洞以及可利用配置失誤����,而企業(yè)必須采取快節(jié)奏方式修復這些漏洞。如果做不到這一點��,那么系統(tǒng)受損與數(shù)據(jù)泄露將給其帶來可怕的經(jīng)濟損失�����。
預測:到 2020年��,成功入侵企業(yè)的攻擊活動中約有三分之一源自影子 IT����。
對于越來越多業(yè)務部門在不知會安全團隊的情況下采用新技術(shù)的行為,安全人員必須加以關(guān)注�,Perkins 指出。事實上�����,大多數(shù)此類新型技術(shù)還不夠成熟�����,且其中包含有可被用于攻擊活動的安全漏洞。
應用與數(shù)據(jù)安全
預測:到 2018年���,對公有云內(nèi)數(shù)據(jù)的保護需求將使得 20%企業(yè)開發(fā)出數(shù)據(jù)安全治理方案。
數(shù)據(jù)安全治理工作將受到保險企業(yè)的大力推動��,而尚不具備相當治理方案的企業(yè)在投保時將面臨更為高昂的保費標準�。
預測:到 2020年,在采納 DevOps 理念的企業(yè)中���,將有 40%通過部署應用安全自測試����、自診斷與自保護技術(shù)實現(xiàn)應用安全保護����。
Perkins 在這里將運行時應用自保護(簡稱 RASP)這正在發(fā)展的技術(shù)方案視為解決應用內(nèi)安全漏洞的重要手段,它也將為 DevOps 團隊快速行動方針下可能帶來的潛在問題找到解決辦法�����。RASP 能夠快速起效并準確地提供與實際漏洞相關(guān)的保護機制����,他解釋稱�。
網(wǎng)絡(luò)與移動安全
” 預測:到 2020年����,80%的云訪問安全代理(簡稱 CASB)業(yè)務將包含網(wǎng)絡(luò)防火墻、安全 Web 網(wǎng)關(guān)(簡稱 SWG)以及 Web 應用防火墻(簡稱 WAF)平臺����。
傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品——例如防火墻、SWG 以及 WAF——供應商希望幫助其客戶保護 SaaS 應用���,而 CASB 能夠高效實現(xiàn)這項工作���,他指出。企業(yè)客戶應當根據(jù)自身應用部署評估是否有必要采用 CASB����,同時考慮目前各傳統(tǒng)技術(shù)供應商提供的對應報價。
身份與訪問管理
預測:到 2019年��,40%的身份即服務(簡稱 IDaaS)方案將取代內(nèi)部 IAM 方案����,遠高于目前的 10%。
IDaaS 使用比例的提升意味著 IAM 基礎(chǔ)設(shè)施的生存空間將逐漸被其擠占,而其它即服務類型方案的普及則將提升決策制定效果��。越來越多的 Web 與移動應用產(chǎn)品將促使企業(yè)自發(fā)地由內(nèi)部 IAM 轉(zhuǎn)向 IDaaS����,他表示。
預測:到 2019年��,在中等風險用例內(nèi)��,密碼與令牌使用比例將降低 55%�,其它新型識別技術(shù)將取而代之����。
隨著生物識別準確度的提升與成本的不斷下降,其已經(jīng)成為驗證體系中一大相當可行的選項�。將用戶特征與行為習慣分析加以結(jié)合,這項技術(shù)能夠帶來更為出色的驗證成效�,Perkins 解釋稱。
物聯(lián)網(wǎng)安全
預測:從現(xiàn)在開始到 2018年��,超過半數(shù)物聯(lián)網(wǎng)設(shè)備制造商將由于薄弱的驗證實踐方案而無法保障產(chǎn)品安全�����。
物聯(lián)網(wǎng)設(shè)備目前在制造過程中仍然很少考慮到安全性需求,而且由于其存在于網(wǎng)絡(luò)環(huán)境中���,因此一旦出現(xiàn)惡意入侵��,其很可能造成網(wǎng)絡(luò)受損及數(shù)據(jù)泄露����,Perkins 強調(diào)道�����。企業(yè)需要利用一套框架來檢測各物聯(lián)網(wǎng)設(shè)備類型的風險��,并對其加以有效控制��。
預測:到 2020年�,將有超過四分之一企業(yè)切實引入物聯(lián)網(wǎng)方案,然而相關(guān) IT 安全預算卻只占總額中的 10%���。
由于安全專家無法確認物聯(lián)網(wǎng)設(shè)備對于企業(yè)安全造成的具體影響�,因此業(yè)務部門需要介入進入�,立足于使用方式思考潛在風險。安全專家應當根據(jù)需要為物聯(lián)網(wǎng)安全工作劃撥整體安全預算的 5%到 10%比例���,他指出��。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意��。如您是字體廠商���、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材�����,請聯(lián)系我們�,本站核實后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟賠償����!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號