互聯(lián)網(wǎng)的發(fā)展已經(jīng)步入穩(wěn)定期，未來(lái)不會(huì)像之前那樣呈現(xiàn)爆發(fā)性增長(zhǎng)的狀況了，那么未來(lái)的網(wǎng)絡(luò)誰(shuí)是主角？是安全。云計(jì)算與大數(shù)據(jù)在為我們的生活工作帶來(lái)方便的同時(shí)，也面臨著從未有過(guò)的危機(jī)考驗(yàn)，企業(yè)更是如此，安全變得無(wú)比重要。那么，未來(lái)的企業(yè)安全到底危機(jī)在哪些方面？

最近咨詢(xún)公司Gartner表態(tài)說(shuō)，現(xiàn)如今的IT安全專(zhuān)家本身需要具備更高的素質(zhì)，比如解決已知風(fēng)險(xiǎn)的能力更出色，更深入地監(jiān)控shadow IT設(shè)備的價(jià)值，解決IoT物聯(lián)網(wǎng)設(shè)備產(chǎn)生的固有缺陷等。

這席話(huà)并非空穴來(lái)風(fēng)。為佐證這一點(diǎn)，Garnter總結(jié)了今年企業(yè)面臨安全問(wèn)題的5個(gè)核心領(lǐng)域，還做出了未來(lái)趨勢(shì)的預(yù)測(cè)，并且就保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)免受威脅的問(wèn)題，給出了一些建議。

這5個(gè)核心領(lǐng)域分別是：威脅與漏洞管理，應(yīng)用與數(shù)據(jù)安全，網(wǎng)絡(luò)與移動(dòng)安全，身份與訪問(wèn)管理，IoT物聯(lián)網(wǎng)安全。這些內(nèi)容是Gartner分析師Earl Perkins在安全與風(fēng)險(xiǎn)管理峰會(huì)（Security and Risk Management Summit）上發(fā)布的。

Perkins給安全專(zhuān)家的建議包括，安全專(zhuān)家需要基于企業(yè)已經(jīng)存在的安全問(wèn)題，做出保護(hù)網(wǎng)絡(luò)和資源的相應(yīng)決策，為企業(yè)的發(fā)展做貢獻(xiàn)，而不是單純地進(jìn)行保護(hù)。總得說(shuō)來(lái)，以下所有建議的最高準(zhǔn)則仍然是：企業(yè)必須建立起一個(gè)基本意識(shí)，企圖推遲在安全措施方面的投入，期望業(yè)務(wù)得到連續(xù)發(fā)展，這是完全錯(cuò)誤的經(jīng)濟(jì)策略，最終根本不會(huì)起到省錢(qián)的作用。具體的預(yù)測(cè)和建議內(nèi)容如下：

安全與漏洞管理

這席話(huà)的意思是說(shuō)，到2020年的時(shí)候，安全和IT專(zhuān)家們可能仍舊不會(huì)太注重漏洞修復(fù)問(wèn)題，所以那個(gè)時(shí)候絕大部分可以利用的漏洞都還是老漏洞。

攻擊者一直在尋找應(yīng)用中的漏洞，以及可利用的設(shè)置BUG，所以對(duì)企業(yè)而言，及時(shí)修復(fù)漏洞顯得尤為重要。如果企業(yè)沒(méi)有即時(shí)修復(fù)漏洞，系統(tǒng)損壞、數(shù)據(jù)竊取必然會(huì)導(dǎo)致經(jīng)濟(jì)損失。

絕大部分企業(yè)用戶(hù)對(duì)Shadow IT這個(gè)詞應(yīng)該早就不陌生了。云安全聯(lián)盟對(duì)Shadow IT的定義是“在企業(yè)IT部門(mén)以外產(chǎn)生的技術(shù)投入和部署，包括個(gè)別員工、團(tuán)隊(duì)和業(yè)務(wù)部門(mén)采用的云應(yīng)用程序”。

Perkins表示，很多企業(yè)引入的新技術(shù)，是在尚未得到安全團(tuán)隊(duì)的審查之后，就引入到企業(yè)中的。這些技術(shù)的確都是新技術(shù)，但也包含著很多問(wèn)題，也就讓企業(yè)更容易遭受攻擊了。

應(yīng)用與數(shù)據(jù)安全

Perkins認(rèn)為，保險(xiǎn)公司將來(lái)會(huì)促進(jìn)數(shù)據(jù)安全管理的發(fā)展，因?yàn)榫W(wǎng)絡(luò)保險(xiǎn)費(fèi)用將來(lái)應(yīng)該會(huì)根據(jù)這些數(shù)據(jù)安全管理程序是否在企業(yè)中正確部署來(lái)設(shè)定。

這里Perkins談到的其實(shí)是一種比較成熟的技術(shù)，名為RASP——運(yùn)行時(shí)應(yīng)用自我保護(hù)（Runtime Application Self-Protection）。在開(kāi)發(fā)運(yùn)營(yíng)團(tuán)隊(duì)快節(jié)奏的工作中，這種技術(shù)能夠一定程度預(yù)防安全問(wèn)題。他說(shuō)，RASP能夠針對(duì)可被利用的漏洞，快速工作、準(zhǔn)確提供防護(hù)。

網(wǎng)絡(luò)與移動(dòng)安全

這句話(huà)的意思是說(shuō)，將來(lái)如果你購(gòu)買(mǎi)CASB云安全接入服務(wù)，那么一般肯定還會(huì)帶上網(wǎng)絡(luò)防火墻、SWG和WAF平臺(tái)。

傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品提供商，其實(shí)都想成為客戶(hù)保護(hù)其SaaS應(yīng)用的選擇。Perkins建議，企業(yè)應(yīng)該根據(jù)自己的應(yīng)用部署計(jì)劃，評(píng)估CASB服務(wù)的可行性，并且應(yīng)該考慮采用傳統(tǒng)技術(shù)供應(yīng)商的這些產(chǎn)品——也就是上面提到的網(wǎng)絡(luò)防火墻、SWG網(wǎng)關(guān)、WAF防火墻。

身份與訪問(wèn)管理

IAM也就是身份訪問(wèn)管理了。IDaaS使用率的提升，一定程度是因?yàn)閮?nèi)部部署IAM設(shè)施的難度和成本都比較大。用老外的話(huà)來(lái)說(shuō)，各種something-as-a-service方式正在快速成長(zhǎng)，所以很多企業(yè)用戶(hù)也會(huì)選擇IDaaS。Perkins也說(shuō)，越來(lái)越多Web和移動(dòng)應(yīng)用的出現(xiàn)，也是從IAM轉(zhuǎn)往IDaaS的重要時(shí)機(jī)。

生物計(jì)量技術(shù)，或者叫生物識(shí)別技術(shù)的成本越來(lái)越低，準(zhǔn)確性也變得很高。所以生物識(shí)別也就成為身份認(rèn)證的絕佳選擇，比如指紋識(shí)別、虹膜識(shí)別等。Perkins認(rèn)為，將用戶(hù)體征和實(shí)體行為分析結(jié)合起來(lái)，在應(yīng)用到中等信任級(jí)別的場(chǎng)景中時(shí)，這項(xiàng)技術(shù)會(huì)相當(dāng)有前途。

IoT物聯(lián)網(wǎng)安全

當(dāng)前IoT設(shè)備的制造，很大程度上還是沒(méi)有考慮到安全性問(wèn)題，有些安全問(wèn)題存在于網(wǎng)絡(luò)中。如果這樣的安全問(wèn)題遭到利用，就會(huì)將整個(gè)內(nèi)部網(wǎng)絡(luò)暴露在外，數(shù)據(jù)也會(huì)被竊取。企業(yè)因此需要搭建起一個(gè)框架，這個(gè)框架可用于評(píng)估每一類(lèi)IoT設(shè)備存在的風(fēng)險(xiǎn)，以及處理這些風(fēng)險(xiǎn)的合理手段。

企業(yè)的安全專(zhuān)家還無(wú)法知曉IoT設(shè)備對(duì)企業(yè)的重要性，但需要用到這類(lèi)設(shè)備的企業(yè)還是需要了解其安全風(fēng)險(xiǎn)。Perkins認(rèn)為，安全專(zhuān)家門(mén)理應(yīng)在IT安全預(yù)算中，為IoT設(shè)備撥出大約5%-10%的預(yù)算，用于監(jiān)控和保護(hù)這些設(shè)備。