互聯(lián)網(wǎng)的發(fā)展已經(jīng)步入穩(wěn)定期，未來不會像之前那樣呈現(xiàn)爆發(fā)性增長的狀況了，那么未來的網(wǎng)絡(luò)誰是主角？是安全。云計算與大數(shù)據(jù)在為我們的生活工作帶來方便的同時，也面臨著從未有過的危機考驗，企業(yè)更是如此，安全變得無比重要。那么，未來的企業(yè)安全到底危機在哪些方面？

最近咨詢公司Gartner表態(tài)說，現(xiàn)如今的IT安全專家本身需要具備更高的素質(zhì)，比如解決已知風(fēng)險的能力更出色，更深入地監(jiān)控shadow IT設(shè)備的價值，解決IoT物聯(lián)網(wǎng)設(shè)備產(chǎn)生的固有缺陷等。

這席話并非空穴來風(fēng)。為佐證這一點，Garnter總結(jié)了今年企業(yè)面臨安全問題的5個核心領(lǐng)域，還做出了未來趨勢的預(yù)測，并且就保護網(wǎng)絡(luò)和數(shù)據(jù)免受威脅的問題，給出了一些建議。

這5個核心領(lǐng)域分別是：威脅與漏洞管理，應(yīng)用與數(shù)據(jù)安全，網(wǎng)絡(luò)與移動安全，身份與訪問管理，IoT物聯(lián)網(wǎng)安全。這些內(nèi)容是Gartner分析師Earl Perkins在安全與風(fēng)險管理峰會（Security and Risk Management Summit）上發(fā)布的。

Perkins給安全專家的建議包括，安全專家需要基于企業(yè)已經(jīng)存在的安全問題，做出保護網(wǎng)絡(luò)和資源的相應(yīng)決策，為企業(yè)的發(fā)展做貢獻，而不是單純地進行保護?？偟谜f來，以下所有建議的最高準則仍然是：企業(yè)必須建立起一個基本意識，企圖推遲在安全措施方面的投入，期望業(yè)務(wù)得到連續(xù)發(fā)展，這是完全錯誤的經(jīng)濟策略，最終根本不會起到省錢的作用。具體的預(yù)測和建議內(nèi)容如下：

安全與漏洞管理

這席話的意思是說，到2020年的時候，安全和IT專家們可能仍舊不會太注重漏洞修復(fù)問題，所以那個時候絕大部分可以利用的漏洞都還是老漏洞。

攻擊者一直在尋找應(yīng)用中的漏洞，以及可利用的設(shè)置BUG，所以對企業(yè)而言，及時修復(fù)漏洞顯得尤為重要。如果企業(yè)沒有即時修復(fù)漏洞，系統(tǒng)損壞、數(shù)據(jù)竊取必然會導(dǎo)致經(jīng)濟損失。

絕大部分企業(yè)用戶對Shadow IT這個詞應(yīng)該早就不陌生了。云安全聯(lián)盟對Shadow IT的定義是“在企業(yè)IT部門以外產(chǎn)生的技術(shù)投入和部署，包括個別員工、團隊和業(yè)務(wù)部門采用的云應(yīng)用程序”。

Perkins表示，很多企業(yè)引入的新技術(shù)，是在尚未得到安全團隊的審查之后，就引入到企業(yè)中的。這些技術(shù)的確都是新技術(shù)，但也包含著很多問題，也就讓企業(yè)更容易遭受攻擊了。

應(yīng)用與數(shù)據(jù)安全

Perkins認為，保險公司將來會促進數(shù)據(jù)安全管理的發(fā)展，因為網(wǎng)絡(luò)保險費用將來應(yīng)該會根據(jù)這些數(shù)據(jù)安全管理程序是否在企業(yè)中正確部署來設(shè)定。

這里Perkins談到的其實是一種比較成熟的技術(shù)，名為RASP——運行時應(yīng)用自我保護（Runtime Application Self-Protection）。在開發(fā)運營團隊快節(jié)奏的工作中，這種技術(shù)能夠一定程度預(yù)防安全問題。他說，RASP能夠針對可被利用的漏洞，快速工作、準確提供防護。

網(wǎng)絡(luò)與移動安全

這句話的意思是說，將來如果你購買CASB云安全接入服務(wù)，那么一般肯定還會帶上網(wǎng)絡(luò)防火墻、SWG和WAF平臺。

傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品提供商，其實都想成為客戶保護其SaaS應(yīng)用的選擇。Perkins建議，企業(yè)應(yīng)該根據(jù)自己的應(yīng)用部署計劃，評估CASB服務(wù)的可行性，并且應(yīng)該考慮采用傳統(tǒng)技術(shù)供應(yīng)商的這些產(chǎn)品——也就是上面提到的網(wǎng)絡(luò)防火墻、SWG網(wǎng)關(guān)、WAF防火墻。

身份與訪問管理

IAM也就是身份訪問管理了。IDaaS使用率的提升，一定程度是因為內(nèi)部部署IAM設(shè)施的難度和成本都比較大。用老外的話來說，各種something-as-a-service方式正在快速成長，所以很多企業(yè)用戶也會選擇IDaaS。Perkins也說，越來越多Web和移動應(yīng)用的出現(xiàn)，也是從IAM轉(zhuǎn)往IDaaS的重要時機。

生物計量技術(shù)，或者叫生物識別技術(shù)的成本越來越低，準確性也變得很高。所以生物識別也就成為身份認證的絕佳選擇，比如指紋識別、虹膜識別等。Perkins認為，將用戶體征和實體行為分析結(jié)合起來，在應(yīng)用到中等信任級別的場景中時，這項技術(shù)會相當(dāng)有前途。

IoT物聯(lián)網(wǎng)安全

當(dāng)前IoT設(shè)備的制造，很大程度上還是沒有考慮到安全性問題，有些安全問題存在于網(wǎng)絡(luò)中。如果這樣的安全問題遭到利用，就會將整個內(nèi)部網(wǎng)絡(luò)暴露在外，數(shù)據(jù)也會被竊取。企業(yè)因此需要搭建起一個框架，這個框架可用于評估每一類IoT設(shè)備存在的風(fēng)險，以及處理這些風(fēng)險的合理手段。

企業(yè)的安全專家還無法知曉IoT設(shè)備對企業(yè)的重要性，但需要用到這類設(shè)備的企業(yè)還是需要了解其安全風(fēng)險。Perkins認為，安全專家門理應(yīng)在IT安全預(yù)算中，為IoT設(shè)備撥出大約5%-10%的預(yù)算，用于監(jiān)控和保護這些設(shè)備。

最新評論