互聯網的發展已經步入穩定期，未來不會像之前那樣呈現爆發性增長的狀況了，那么未來的網絡誰是主角？是安全。云計算與大數據在為我們的生活工作帶來方便的同時，也面臨著從未有過的危機考驗，企業更是如此，安全變得無比重要。那么，未來的企業安全到底危機在哪些方面？

最近咨詢公司Gartner表態說，現如今的IT安全專家本身需要具備更高的素質，比如解決已知風險的能力更出色，更深入地監控shadow IT設備的價值，解決IoT物聯網設備產生的固有缺陷等。

這席話并非空穴來風。為佐證這一點，Garnter總結了今年企業面臨安全問題的5個核心領域，還做出了未來趨勢的預測，并且就保護網絡和數據免受威脅的問題，給出了一些建議。

這5個核心領域分別是：威脅與漏洞管理，應用與數據安全，網絡與移動安全，身份與訪問管理，IoT物聯網安全。這些內容是Gartner分析師Earl Perkins在安全與風險管理峰會（Security and Risk Management Summit）上發布的。

Perkins給安全專家的建議包括，安全專家需要基于企業已經存在的安全問題，做出保護網絡和資源的相應決策，為企業的發展做貢獻，而不是單純地進行保護。總得說來，以下所有建議的最高準則仍然是：企業必須建立起一個基本意識，企圖推遲在安全措施方面的投入，期望業務得到連續發展，這是完全錯誤的經濟策略，最終根本不會起到省錢的作用。具體的預測和建議內容如下：

安全與漏洞管理

這席話的意思是說，到2020年的時候，安全和IT專家們可能仍舊不會太注重漏洞修復問題，所以那個時候絕大部分可以利用的漏洞都還是老漏洞。

攻擊者一直在尋找應用中的漏洞，以及可利用的設置BUG，所以對企業而言，及時修復漏洞顯得尤為重要。如果企業沒有即時修復漏洞，系統損壞、數據竊取必然會導致經濟損失。

絕大部分企業用戶對Shadow IT這個詞應該早就不陌生了。云安全聯盟對Shadow IT的定義是“在企業IT部門以外產生的技術投入和部署，包括個別員工、團隊和業務部門采用的云應用程序”。

Perkins表示，很多企業引入的新技術，是在尚未得到安全團隊的審查之后，就引入到企業中的。這些技術的確都是新技術，但也包含著很多問題，也就讓企業更容易遭受攻擊了。

應用與數據安全

Perkins認為，保險公司將來會促進數據安全管理的發展，因為網絡保險費用將來應該會根據這些數據安全管理程序是否在企業中正確部署來設定。

這里Perkins談到的其實是一種比較成熟的技術，名為RASP——運行時應用自我保護（Runtime Application Self-Protection）。在開發運營團隊快節奏的工作中，這種技術能夠一定程度預防安全問題。他說，RASP能夠針對可被利用的漏洞，快速工作、準確提供防護。

網絡與移動安全

這句話的意思是說，將來如果你購買CASB云安全接入服務，那么一般肯定還會帶上網絡防火墻、SWG和WAF平臺。

傳統網絡安全產品提供商，其實都想成為客戶保護其SaaS應用的選擇。Perkins建議，企業應該根據自己的應用部署計劃，評估CASB服務的可行性，并且應該考慮采用傳統技術供應商的這些產品——也就是上面提到的網絡防火墻、SWG網關、WAF防火墻。

身份與訪問管理

IAM也就是身份訪問管理了。IDaaS使用率的提升，一定程度是因為內部部署IAM設施的難度和成本都比較大。用老外的話來說，各種something-as-a-service方式正在快速成長，所以很多企業用戶也會選擇IDaaS。Perkins也說，越來越多Web和移動應用的出現，也是從IAM轉往IDaaS的重要時機。

生物計量技術，或者叫生物識別技術的成本越來越低，準確性也變得很高。所以生物識別也就成為身份認證的絕佳選擇，比如指紋識別、虹膜識別等。Perkins認為，將用戶體征和實體行為分析結合起來，在應用到中等信任級別的場景中時，這項技術會相當有前途。

IoT物聯網安全

當前IoT設備的制造，很大程度上還是沒有考慮到安全性問題，有些安全問題存在于網絡中。如果這樣的安全問題遭到利用，就會將整個內部網絡暴露在外，數據也會被竊取。企業因此需要搭建起一個框架，這個框架可用于評估每一類IoT設備存在的風險，以及處理這些風險的合理手段。

企業的安全專家還無法知曉IoT設備對企業的重要性，但需要用到這類設備的企業還是需要了解其安全風險。Perkins認為，安全專家門理應在IT安全預算中，為IoT設備撥出大約5%-10%的預算，用于監控和保護這些設備。