互聯(lián)網(wǎng)的發(fā)展已經步入穩(wěn)定期，未來不會像之前那樣呈現(xiàn)爆發(fā)性增長的狀況了，那么未來的網(wǎng)絡誰是主角？是安全。云計算與大數(shù)據(jù)在為我們的生活工作帶來方便的同時，也面臨著從未有過的危機考驗，企業(yè)更是如此，安全變得無比重要。那么，未來的企業(yè)安全到底危機在哪些方面？

最近咨詢公司Gartner表態(tài)說，現(xiàn)如今的IT安全專家本身需要具備更高的素質，比如解決已知風險的能力更出色，更深入地監(jiān)控shadow IT設備的價值，解決IoT物聯(lián)網(wǎng)設備產生的固有缺陷等。

這席話并非空穴來風。為佐證這一點，Garnter總結了今年企業(yè)面臨安全問題的5個核心領域，還做出了未來趨勢的預測，并且就保護網(wǎng)絡和數(shù)據(jù)免受威脅的問題，給出了一些建議。

這5個核心領域分別是：威脅與漏洞管理，應用與數(shù)據(jù)安全，網(wǎng)絡與移動安全，身份與訪問管理，IoT物聯(lián)網(wǎng)安全。這些內容是Gartner分析師Earl Perkins在安全與風險管理峰會（Security and Risk Management Summit）上發(fā)布的。

Perkins給安全專家的建議包括，安全專家需要基于企業(yè)已經存在的安全問題，做出保護網(wǎng)絡和資源的相應決策，為企業(yè)的發(fā)展做貢獻，而不是單純地進行保護?？偟谜f來，以下所有建議的最高準則仍然是：企業(yè)必須建立起一個基本意識，企圖推遲在安全措施方面的投入，期望業(yè)務得到連續(xù)發(fā)展，這是完全錯誤的經濟策略，最終根本不會起到省錢的作用。具體的預測和建議內容如下：

安全與漏洞管理

這席話的意思是說，到2020年的時候，安全和IT專家們可能仍舊不會太注重漏洞修復問題，所以那個時候絕大部分可以利用的漏洞都還是老漏洞。

攻擊者一直在尋找應用中的漏洞，以及可利用的設置BUG，所以對企業(yè)而言，及時修復漏洞顯得尤為重要。如果企業(yè)沒有即時修復漏洞，系統(tǒng)損壞、數(shù)據(jù)竊取必然會導致經濟損失。

絕大部分企業(yè)用戶對Shadow IT這個詞應該早就不陌生了。云安全聯(lián)盟對Shadow IT的定義是“在企業(yè)IT部門以外產生的技術投入和部署，包括個別員工、團隊和業(yè)務部門采用的云應用程序”。

Perkins表示，很多企業(yè)引入的新技術，是在尚未得到安全團隊的審查之后，就引入到企業(yè)中的。這些技術的確都是新技術，但也包含著很多問題，也就讓企業(yè)更容易遭受攻擊了。

應用與數(shù)據(jù)安全

Perkins認為，保險公司將來會促進數(shù)據(jù)安全管理的發(fā)展，因為網(wǎng)絡保險費用將來應該會根據(jù)這些數(shù)據(jù)安全管理程序是否在企業(yè)中正確部署來設定。

這里Perkins談到的其實是一種比較成熟的技術，名為RASP——運行時應用自我保護（Runtime Application Self-Protection）。在開發(fā)運營團隊快節(jié)奏的工作中，這種技術能夠一定程度預防安全問題。他說，RASP能夠針對可被利用的漏洞，快速工作、準確提供防護。

網(wǎng)絡與移動安全

這句話的意思是說，將來如果你購買CASB云安全接入服務，那么一般肯定還會帶上網(wǎng)絡防火墻、SWG和WAF平臺。

傳統(tǒng)網(wǎng)絡安全產品提供商，其實都想成為客戶保護其SaaS應用的選擇。Perkins建議，企業(yè)應該根據(jù)自己的應用部署計劃，評估CASB服務的可行性，并且應該考慮采用傳統(tǒng)技術供應商的這些產品——也就是上面提到的網(wǎng)絡防火墻、SWG網(wǎng)關、WAF防火墻。

身份與訪問管理

IAM也就是身份訪問管理了。IDaaS使用率的提升，一定程度是因為內部部署IAM設施的難度和成本都比較大。用老外的話來說，各種something-as-a-service方式正在快速成長，所以很多企業(yè)用戶也會選擇IDaaS。Perkins也說，越來越多Web和移動應用的出現(xiàn)，也是從IAM轉往IDaaS的重要時機。

生物計量技術，或者叫生物識別技術的成本越來越低，準確性也變得很高。所以生物識別也就成為身份認證的絕佳選擇，比如指紋識別、虹膜識別等。Perkins認為，將用戶體征和實體行為分析結合起來，在應用到中等信任級別的場景中時，這項技術會相當有前途。

IoT物聯(lián)網(wǎng)安全

當前IoT設備的制造，很大程度上還是沒有考慮到安全性問題，有些安全問題存在于網(wǎng)絡中。如果這樣的安全問題遭到利用，就會將整個內部網(wǎng)絡暴露在外，數(shù)據(jù)也會被竊取。企業(yè)因此需要搭建起一個框架，這個框架可用于評估每一類IoT設備存在的風險，以及處理這些風險的合理手段。

企業(yè)的安全專家還無法知曉IoT設備對企業(yè)的重要性，但需要用到這類設備的企業(yè)還是需要了解其安全風險。Perkins認為，安全專家門理應在IT安全預算中，為IoT設備撥出大約5%-10%的預算，用于監(jiān)控和保護這些設備。