安全发展趋势预测发布 你怎么看？

　　【中国智能制造网 市场分析】薄弱的内部代码、云环境下数据以及物联网将成为下一阶段攻击活动的主要对象。IT安全人员需要更好地应对已知风险、密切关注影子IT设备带来的价值，同时解决由物联网装置引入所带来的相应漏洞，Gartner方面表示。　　作为一家咨询企业，Gartner在今年年内着眼于五大关键性安全关注方向，并立足于此提出与之相关的威胁预测与安全建议。
　　
　　而这五大关注方向分别为威胁与漏洞管理、应用与数据安全、网络与移动安全、身份与访问管理外加物联网安全。Gartner公司的分析结论由分析师EarlPerkins在近的安全与风险管理峰会上正式公布。
　　
　　而其中为重要的建议在于，努力避免破坏性后果式的安全管理策略已经无法为企业带来切实有效的保护。
　　
　　他同时建议称，安全人员应当根据可能影响到企业及其业务目标的已知风险进行网络与资源保护决策。相较于单纯扮演保护者的角色，如今他们应当将安全工作视为促进并保障业务成果的手段。
　　
　　下面来看各具体预测与建议内容：
　　
　　威胁与漏洞管理
　　
　　预测：到2020年，99%的漏洞利用行为都将每年至少出现一次，安全与IT专业人士必须对此做好心理准备。
　　
　　攻击者们越来越多地着眼于应用程序中的漏洞以及可利用配置失误，而企业必须采取快节奏方式修复这些漏洞。如果做不到这一点，那么系统受损与数据泄露将给其带来可怕的经济损失。
　　
　　预测：到2020年，成功入侵企业的攻击活动中约有三分之一源自影子IT。
　　
　　对于越来越多业务部门在不知会安全团队的情况下采用新技术的行为，安全人员必须加以关注，Perkins指出。事实上，大多数此类新型技术还不够成熟，且其中包含有可被用于攻击活动的安全漏洞。
　　
　　应用与数据安全
　　
　　预测：到2018年，对公有云内数据的保护需求将使得20%企业开发出数据安全治理方案。
　　
　　数据安全治理工作将受到保险企业的大力推动，而尚不具备相当治理方案的企业在投保时将面临更为高昂的保费标准。
　　
　　预测：到2020年，在采纳DevOps理念的企业中，将有40%通过部署应用安全自测试、自诊断与自保护技术实现应用安全保护。
　　
　　Perkins在这里将运行时应用自保护(简称RASP)这正在发展的技术方案视为解决应用内安全漏洞的重要手段，它也将为DevOps团队快速行动方针下可能带来的潜在问题找到解决办法。RASP能够快速起效并准确地提供与实际漏洞相关的保护机制，他解释称。
　　
　　网络与移动安全
　　
　　”预测：到2020年，80%的云访问安全代理(简称CASB)业务将包含网络防火墙、安全Web网关(简称SWG)以及Web应用防火墙(简称WAF)平台。
　　
　　传统网络安全产品——例如防火墙、SWG以及WAF——供应商希望帮助其客户保护SaaS应用，而CASB能够实现这项工作，他指出。企业客户应当根据自身应用部署评估是否有必要采用CASB，同时考虑目前各传统技术供应商提供的对应报价。
　　
　　身份与访问管理
　　
　　预测：到2019年，40%的身份即服务(简称IDaaS)方案将取代内部IAM方案，远高于目前的10%。
　　
　　IDaaS使用比例的提升意味着IAM基础设施的生存空间将逐渐被其挤占，而其它即服务类型方案的普及则将提升决策制定效果。越来越多的Web与移动应用产品将促使企业自发地由内部IAM转向IDaaS，他表示。
　　
　　预测：到2019年，在中等风险用例内，密码与令牌使用比例将降低55%，其它新型识别技术将取而代之。
　　
　　随着生物识别准确度的提升与成本的不断下降，其已经成为验证体系中一大相当可行的选项。将用户特征与行为习惯分析加以结合，这项技术能够带来更为出色的验证成效，Perkins解释称。
　　
　　物联网安全
　　
　　预测：从现在开始到2018年，超过半数物联网设备制造商将由于薄弱的验证实践方案而无法保障产品安全。
　　
　　物联网设备目前在制造过程中仍然很少考虑到安全性需求，而且由于其存在于网络环境中，因此一旦出现恶意入侵，其很可能造成网络受损及数据泄露，Perkins强调道。企业需要利用一套框架来检测各物联网设备类型的风险，并对其加以有效控制。
　　
　　预测：到2020年，将有超过四分之一企业切实引入物联网方案，然而相关IT安全预算却只占总额中的10%。
　　
　　由于安全专家无法确认物联网设备对于企业安全造成的具体影响，因此业务部门需要介入进入，立足于使用方式思考潜在风险。安全专家应当根据需要为物联网安全工作划拨整体安全预算的5%到10%比例，他指出。