大安全

Gartner:2016年十大安全预测

在Gartner2016安全与风险峰会上，Gartner研究副总裁EarlParkins指出了未来两到四年安全领域的10个战略规划假设(SPAS)。

1)到2020年，99%的漏洞仍会被安全和IT专业人员知晓1年以上。建议:企业必须致力于修复已知的漏洞。这些漏洞很容易被忽视，修复比事后修复更便宜也更容易。

2)到2020年，企业遭受的成功攻击的三分之一将是针对其IT(影子IT资源。建议:业务部门会尽力处理企业面临的实际问题，会利用各种工具完成自己的工作。企业应该找到一种方法来跟踪影子IT，并创建一种接受和保护的文化，而不是测试和惩罚它。【注:影子IT一般是指不在公司统一管理之下、不在公司正式管辖范围内的IT硬件、软件和应用，如一些部门自建的网站、自建的应用(未上报公司)】

3)到2018年，防止公共云信息泄露的需求将推动20%的组织制定数据安全治理计划。建议:制定一套企业级的数据安全治理(DSG)程序，找出数据安全策略的差距，制定出解决问题的路线图，并在适当的时候寻求网络保险。

4)到2020年，40%已引入DevOps的企业将通过采用应用安全自检、自诊断和自保护技术来保障其开发的应用系统。建议:在DevOps中采用运行时应用程序自我保护技术(RSAP)。评估不成熟供应商和开发商的潜在安全问题。

5)到2020年，80%基于云的CASB交易将被打包到网络防火墙、安全网络网关(SWG)和WAF平台中。建议:考虑到客户向云迁移(过程中可能出现的问题)和绑定购买的现实，企业需要评估应用部署的路线图，决定这种投资是否合理。

6)到2018年，使用原生移动安全遏制技术而不是第三方可选包的企业数量将从20%增加到60%。建议:验证并掌握原生移动安全遏制解决方案。请注意，具有典型安全需求的企业应该有计划地逐步转向原生移动安全遏制技术。

7)到2019年，40%的企业端IAM实施将被IDaaS(身份即服务)实施取代，目前只有10%。建议:IDaaS的大部分障碍已经清除，企业应该在小规模项目中尝试。由于对合规性的争议将阻碍IDaaS的发展，企业需要充分认识到IDaaS目前的局限性和好处。

8)到2019年，由于身份识别技术的引入，中等风险应用场景中密码和令牌的使用将减少55%。建议:密码的使用在商业实践中根深蒂固，很难完全杜绝。然而，企业应该开始寻找专注于将良好的用户体验集成到持续信任环境的开发中的产品。从识别开始，要求供应商具备生物识别和分析的能力。

9)到2018年，超过50%的物联网设备制造商将无法应对来自弱认证应用的威胁。建议:通过改变企业结构，物联网引入了新的威胁。物联网安全的早期失败可能会迫使行业制定认证标准，但企业应该识别认证风险，建立身份保护的需求，并进行衡量。

10)到2020年，超过25%的针对企业的已确认攻击将与物联网有关，而物联网(安全投入)仅占总安全预算的10%。建议:随着物联网的不断发展，供应商(投入品)更倾向于易用性而非安全性。IT从业者无法确认物联网中风险的可接受量。企业要指定物联网安全的负责人，关注那些有漏洞或者无法打补丁的物联网设备，增加物联网(安全)的预算。

[参考]

Gartner:2016年十大信息安全技术(含解读)

附上原文:

到2020年，至少一年内，99%被利用的漏洞仍将被安全和IT专业人员所知。建议措施:公司应该集中精力修复他们知道存在的漏洞。虽然这些漏洞很容易被忽略，但修复它们比缓解它们更容易，成本也更低。

到2020年，企业遭遇的三分之一的成功攻击将是针对其影子IT资源的。
建议的措施:业务部门处理企业的实际情况，并将使用任何有助于他们完成工作的工具。公司应该找到一种跟踪影子IT的方法，并创造一种接受和保护而不是发现和惩罚的文化。

到2018年，防止来自公共云的数据泄露的需求将推动20%的组织制定数据安全治理计划。
建议的措施:制定企业范围的数据安全治理(DSG)计划。确定数据安全政策差距，制定解决问题的路线图，并在适当的时候寻求网络保险。

到2020年，40%从事DevOps的企业将通过采用应用安全自检、自诊断和自保护技术来保护开发的应用。建议 *** 作:对DevOps采用运行时应用程序自我保护(RASP)。评估不太成熟的供应商和提供商的潜在安全选项。

到2020年，基于云的CASB的80%的新交易将与网络防火墙、安全网络网关(SWG)和网络应用防火墙(WAF)平台打包在一起。建议采取的措施:尽管对客户向云的迁移和捆绑购买存在担忧，但公司应该评估应用程序部署路线图，并决定投资是否合理。

到2018年，利用原生移动遏制而非第三方选项的企业将从20%上升到60%。
建议的 *** 作:尝试并熟悉本机密封解决方案。请记住，具有一般安全需求的企业应该计划逐步转向
本机遏制。

到2019年，40%的IDaaS实施将取代内部IAM实施，目前这一比例为10%。建议的措施:身份即服务(IDaaS)的限制已经消失，公司应该开始试验小规模项目。虽然法规冲突可能会阻碍实施，但公司应该认识到当前的局限性和好处。

到2019年，由于识别技术的引入，中等风险用例中密码和令牌的使用将下降55%。建议措施:密码在商业实践中根深蒂固，不可能完全消失，但公司应该寻找专注于开发具有良好用户体验的持续信任环境的产品。从识别用例开始，向供应商施压，要求提供生物识别和分析功能。

到2018年，超过50%的物联网设备制造商将无法应对来自弱身份认证实践的威胁。建议措施:通过改变企业架构，物联网引入了新的威胁。早期的物联网安全故障可能会迫使行业采用身份认证标准，但公司应该识别身份认证风险，建立身份保证要求，并采用衡量标准。

到2020年，超过25%的已识别企业攻击将涉及物联网，尽管物联网仅占IT安全预算的10%。建议措施:随着物联网的持续增长，供应商将更青睐可用性而非安全性，IT安全从业者仍然不确定可接受风险的正确数量。公司应分配物联网安全的业务所有权，关注易受攻击或不可匹配的物联网设备，并增加物联网预算。

欢迎分享，转载请注明来源：内存溢出

原文地址: https://outofmemory.cn/zz/771902.html