信息來源:51CTO
如今����,企業(yè)的網(wǎng)絡(luò)安全支出一直在增長,但是最近的調(diào)查數(shù)據(jù)表明����,整體防御措施并沒有變得更加有效����。
從所有方面來看�����,IT行業(yè)似乎都在輸?shù)魧咕W(wǎng)絡(luò)攻擊的戰(zhàn)爭,但企業(yè)在安全產(chǎn)品上的支出仍在不斷增加�����。
例如��,根據(jù)Marsh公司和微軟公司在去年年底發(fā)布的一份調(diào)查報告�,2019年網(wǎng)絡(luò)安全市場規(guī)模超過1240億美元����。盡管花費了這么多支出�����,但網(wǎng)絡(luò)犯罪在2019年全球各地的組織損失了大約1萬億美元����。
在被調(diào)查的受訪者中���,79%的受訪者將網(wǎng)絡(luò)風(fēng)險排在前五位��,而2017年為62%����,但是由于對網(wǎng)絡(luò)安全措施的信心全面下降����。在了解和評估網(wǎng)絡(luò)威脅方面�,有29%的受訪者表示他們對2017年充滿信心����,而在2019年這一比例下降到23%���。同時�����,對評估威脅的能力完全沒有信心的受訪者數(shù)量翻了一番���,從9%增加到18%。
同樣,對緩解或阻止網(wǎng)絡(luò)攻擊的能力完全沒有信心的企業(yè)比例從12%上升到19%,而對響應(yīng)或管理網(wǎng)絡(luò)攻擊的能力沒有信心的企業(yè)比例從15%上升到22%����。
報告作者說:“缺乏信心的部分原因可能是企業(yè)從對網(wǎng)絡(luò)安全技術(shù)不斷增加的投資中看到的影響相對較小?!?
同時�,鑒于威脅形勢和合規(guī)性要求不斷提高,大多數(shù)企業(yè)洋會考慮減少網(wǎng)絡(luò)安全支出�����。根據(jù)CIO雜志的2020年首席信息官現(xiàn)狀調(diào)查,普通公司現(xiàn)在將其IT預(yù)算的16%用于網(wǎng)絡(luò)安全��。Enterprise StrategyGroup上月底發(fā)布的一項調(diào)查報告表明��,62%的企業(yè)計劃在2020年增加網(wǎng)絡(luò)安全支出�,而55%的組織計劃總體上增 加IT支出�。
倫敦網(wǎng)絡(luò)安全商Garrison公司創(chuàng)始人兼首席技術(shù)官Henry Harrison表示���,顯然�����,犯罪分子正在變得越來越高明���。但是問題是�����,防御者為什么不與時俱進呢?網(wǎng)絡(luò)攻擊者變得越來越聰明,并使用越來越復(fù)雜的技術(shù)�。攻擊面正在不斷擴大,其中包括云計算��、物聯(lián)網(wǎng)�、人工智能和其他新興技術(shù)����。但是在網(wǎng)絡(luò)安全支出方面,許多公司開展的工作比較盲目。
Harrison說:“人們在不了解網(wǎng)絡(luò)安全技術(shù)是否有效的情況下�,在網(wǎng)絡(luò)安全技術(shù)上花費了大量資金���?���!?
部分問題可能是,很多企業(yè)在跟蹤網(wǎng)絡(luò)安全支出的投資回報率方面做得不好�。根據(jù)SANS協(xié)會在今年一月進行的一項調(diào)查,只有35%的受訪者表示����,根據(jù)投資成本來衡量他們的安全計劃的有效性�����。報告作者Barbara Filkins表示,這使得負(fù)責(zé)安全事務(wù)的管理人員無法證明向企業(yè)管理層進行必要投資的合理性�。
企業(yè)支付的成本物有所值嗎?
在SANS調(diào)查中確實衡量網(wǎng)絡(luò)安全有效性的那些企業(yè)中,最常見的策略(由59%的受訪者使用)是計算攻擊面的減少��。44%的受訪者關(guān)注合規(guī)性的提高�����,41%的受訪者關(guān)注了響應(yīng)的速度和準(zhǔn)確性�����,18%的受訪者關(guān)注了他們是否能夠降低網(wǎng)絡(luò)安全成本�。
Tala Security公司首席執(zhí)行官Aanand Krishnan表示:“一些供應(yīng)商正在提供投資回報率測量工具��,以幫助安全團隊跟蹤其安全工具的性能�。但目前可用的工具尚不成熟�����?�!痹诎踩冃Ч芾矸矫?,他們隱瞞的比披露的要多��?!薄?
另一種方法是使用MITRE、NIST�����、COBIT�、CISQ等行業(yè)框架和標(biāo)準(zhǔn)�。雖然它們越來越復(fù)雜�����,但這些框架往往是通用的�。Krishnan說,“首席信息安全官必須花費大量時間來調(diào)整這些框架����,使之與他們的IT狀況相關(guān)?����!?
最后����,有時看起來每個安全供應(yīng)商都承諾要解決存在的所有安全問題,很難具體說明他們的技術(shù)是做什么的�����。他說�,“企業(yè)最終會出現(xiàn)供應(yīng)商膨脹的問題,這將使網(wǎng)絡(luò)安全預(yù)算不斷擴大��。”
炒作和混淆
漏洞發(fā)生的地點與當(dāng)前熱門的網(wǎng)絡(luò)安全技術(shù)之間也存在不一致的地方�����。KnowBe4公司數(shù)據(jù)驅(qū)動防御傳道者Roger Grimes說�,缺乏補丁程序和網(wǎng)絡(luò)釣魚電子郵件是造成大多數(shù)安全事件的原因,但這些問題并不是引起所有炒作和關(guān)注的原因�。
他說:“網(wǎng)絡(luò)安全防御廠商是推銷員。他們被迫在潛在客戶中產(chǎn)生恐懼和恐慌的感覺����,以出售他們的產(chǎn)品。這就是他們?yōu)橹\生而做的事情�����?!?
根據(jù)Valimail公司在12月發(fā)布的一項調(diào)查�����,有53%的受訪者表示����,大多數(shù)或所有網(wǎng)絡(luò)安全供應(yīng)商在推銷產(chǎn)品時都會使用不清楚或模棱兩可的數(shù)據(jù)�。此外���,有42%的人表示網(wǎng)絡(luò)安全產(chǎn)品確實會有時提供價值�,但很難或不可能證明其價值���,而有44%的人表示大多數(shù)或所有供應(yīng)商都對他們的技術(shù)感到困惑���。
Valimail公司首席營銷官David Applebaum表示,許多供應(yīng)商都相信客戶會與他們在一起��。他說:“對于大多數(shù)已經(jīng)在特定平臺上進行了標(biāo)準(zhǔn)化的客戶來說���,很難切換并再次進行所有供應(yīng)商的所有評估��。人們普遍認(rèn)為�����,它們都不比其他公司要好�����,因此尋找另一家安全廠商并不一定會提高滿意度��。然后���,人們擔(dān)心任何干擾都會使其容易受到攻擊����?���!?
可能很容易將技術(shù)效率低下歸咎于供應(yīng)商,而對銷售人員的混淆則歸咎于它們���。在許多情況下�,他們應(yīng)該受到譴責(zé)�。但是,企業(yè)自身也應(yīng)承擔(dān)很多責(zé)任���。
例如,根據(jù)ISACA的2020年安全狀態(tài)報告���,良好的企業(yè)風(fēng)險管理策略的一個基石是對可以承受的風(fēng)險有所了解��,但是只有35%的企業(yè)清楚地了解其網(wǎng)絡(luò)風(fēng)險承受能力和企業(yè)風(fēng)險�。當(dāng)企業(yè)甚至不知道其目標(biāo)是什么時,很難知道是否已實現(xiàn)網(wǎng)絡(luò)風(fēng)險防御目標(biāo)��。
