IDG 的《安全重点研究》显示,大多数企业的安全工作受合规要求与安全最佳实践改进任务的驱动。
安全态势永远在变:更聪明的网络罪犯、不断进化的恶意软件、更严格的监管和更高的金融与国家安全风险,无不迫使公司企业及其安全团队不断调整安全工作重点。
IDG《2019 安全重点研究》发布于 2019 年 7 月底,揭示未来一年中安全重点的变化趋势。该研究基于对全球 528 名安全专业人士的调查,覆盖网络安全开支、汇报结构、技术采纳及所有这些背后的驱动因素。
以下便是研究结果摘要。
1. 安全预算上涨
几乎所有公司都预期来年安全开支会更多或者持平,但未必会用在安全人员认为最需要的地方。新的隐私和安全监管是推动安全预算增长的原因之一。2/3 (66%) 的受访者认为合规指令是安全开支的驱动因素。但部分受访者 (27%) 将合规指令视为对战略计划的干扰。
仅 4% 的受访者预期自身安全预算会减少,50% 预期会增加,46% 预期持平。安全预算的其他决定性因素包括最佳实践 (73%)、公司内部安全事件响应 (39%)、董事会命令,以及在另一公司或商业合作伙伴层面响应安全事件 (55%)。
研究报告作者指出,尽管第一美国集团 (First American Corporation) 8.85 亿记录泄露这种重磅事件以往能推动安全开支增长,但今年的研究显示,此类事件对安全预算的影响在减小。报告中写道:目前为止,最佳实践和合规指令是安全预算最大的推动力。但二者都存在争议性弱点。专家指出,即使是出自 NIST 和 COBIT 的公认最佳实践框架也有局限性,公司企业很难在自身独特环境中贯彻其指导思想和获取最佳效果。
2. 保护敏感数据是重中之重
欧盟《通用数据保护条例》(GDPR) 已于 2018 年 5 月生效。《加州消费者隐私法案》(CCPA) 将在 2020 年 1 月 1 日生效。这些法令和其他现有或即将推出的隐私监管规定,将公司企业的关注重点聚焦到了个人可识别信息 (PII) 保护上。IDG 研究报告中对此也有反映:59% 的受访者称隐私信息保护是其首要安全工作重点。
接下来的安全工作重点则将直接有助于保护 PII 和其他资产。安全意识培训 (44%) 被广泛认为是减少网络钓鱼和其他社会工程攻击的有效方式。受访者的安全工作重点还包括:升级 IT 及数据安全以提升弹性 (39%),提高对外部威胁的理解 (34%)、更好地利用数据和分析 (24%),以及降低 IT 安全基础设施复杂度 (22%)。
3. 花在员工身上的安全投资比重最大,但没大多少
数据显示,1/4 的安全开支将花在安全人才身上。这是安全开支占比最高的一项,但工具和技术 (23%),以及基础设施和设备 (22%) 紧随其后,不遑多让。仅 11% 的安全开支将流向云服务,12% 投入合约服务。
4. 半数中小企业缺乏安全高管
88% 的企业级公司拥有安全高管,但仅 51% 的中小企业 (SMB) 有此配置。多数安全高管的头衔是 CISO 或 CSO(大企业 74%,中小企业 28%)。
安全高管通常向 CIO 汇报 (31%)。22% 直接向 CEO 汇报,7% 直接向董事会汇报。
5. 零信任热门,区块链遇冷
近半数受访者称正积极研究零信任技术,或关注零信任技术。36% 的受访者称正在研究区块链,但 50% 的受访者对区块链技术毫无兴趣——本项调查研究中所列全部技术里被称 “没兴趣” 最多的。
2019 IDG 安全重点研究显示的受热捧的安全技术
该调查结果显示出对一些某种意义上的非常规安全工具和方法的综合吸收。这些或新或另类的安全工具和方法包括零信任技术、DevSecOps、诱骗技术,以及构筑机器学习及人工智能新兴应用基础的大数据分析。