Gartner: 未来4年安全领域的10大战略性规划假设
发布日期:2016-07-05在Gartner 2016年安全与风险峰会上,Gartner研究副总裁Earl Parkins指出了在未来2到4年内安全领域的10大战略性规划假设Strategic Planning Assumptions (SPAs)。
1)到2020年,99%的漏洞利用将依旧是安全和IT专业人员已知1年以上的。
建议措施:企业必须致力于修补他们已知存在的漏洞。这些漏洞很容易被忽略,比起事后弥补,修复这些漏洞的代价更低,也更容易。
2)到2020年,企业遭受的成功攻击中有三分之一是针对他们的影子IT(Shadow IT)资源的。
建议措施:业务部门会想方设法去应对企业面临的现实问题,会使用各种工具来完成自己的工作。企业应该找到跟踪影子IT的方法,并创建一个接纳和保护的文 化,而不是付诸于检测和惩罚。【注:影子IT泛指那些不在公司统一管理之下的,不受公司官方管辖的IT硬件、软件和应用,譬如某些部门自建的网站、自己搭 建的应用(未向公司申报)等】
3)到2018年,阻止公有云信息泄露的诉求将驱动20%的组织去开发数据安全治理程序。
建议措施:开发一套企业级的数据安全治理(Data Security Governance,DSG)程序,找出数据安全策略的差距,制定出解决问题的路线图,并在适当的时候寻求网络保险(Cyberinsurance)。
4)到2020年,40%引入了DevOps的企业将会通过采用应用安全自测试、自诊断和自保护技术来保障其开发的应用系统。
建议措施:在DevOps时采用运行时应用自保护技术(RSAP)。对那些不够成熟的供应商和开发商的潜在安全问题点进行评估。
5)到2020年,80%的基于云的CASB交易将被打包到网络防火墙、安全WEB网关(SWG)和WAF平台中。
建议措施:考虑到客户迁移到云(过程中可能遇到的问题)和绑定购买的现实情况,企业需要评估应用部署的路线图,并决定这个投资是否合理。
6)到2018年,利用原生移动安全遏制技术而非第三方可选包的企业将从20%上升到60%。
建议措施:验证并掌握原生的【注:iOS和Android自带的】移动安全遏制解决方案。注意,具有典型安全需求的企业应该有计划的逐步转向原生移动安全遏制技术。
7)到2019年,40%的企业侧IAM实现将被IDaaS(身份即服务)实现取代,当前只有10%。
建议措施:IDaaS的大部分障碍已经排除,企业应该开始在小规模的项目里进行尝试。由于合规性的争论会阻碍IDaaS的发展,企业需要充分认识到IDaaS当前的限制和收益。
8)到2019年,由于识别技术的引入,在中风险应用场景中对密码和令牌的使用将下降55%。
建议措施:密码的使用在商业实践中根深蒂固,难以彻底消除,但是企业应该着手寻找那些聚焦于将良好用户体验融入持续信任环境开发的产品。从身份识别开始,要求供应商具备生物识别与分析能力。
9)到2018年,超过50%的物联网设备制造商将无法应对来自弱认证应用的威胁。
建议措施:通过改变企业架构,物联网引入了新的威胁。早期的物联网安全失效可能会迫使业界去制定认证标准,但企业应该去识别认证风险,建立身份保障的需求,并进行度量。
10)到2020年,超过25%针对企业的确认攻击将与物联网有关,而物联网(安全投入)仅占整个安全预算的10%。
建议措施:随着物联网的持续发展,供应商(投入)对更偏向易用性而非安全性。IT安全从业者尚无法确认物联网领域可接受的风险量是多少。企业应该指派物联网安全的责任人,关注那些有漏洞或者是无法打补丁的物联网设备,并增加针对物联网(安全)的预算。
文章来源:360安全播报
相关资讯: