合規指令:主導 2019 安全重點的網絡安全較佳實踐
IDG 的《安全重點研究》顯示,大多數企業的安全工作受合規要求與安全最佳實踐改進任務的驅動。
安全態勢永遠在變:更聰明的網絡罪犯、不斷進化的惡意軟件、更嚴格的監管和更高的金融與國家安全風險,無不迫使公司企業及其安全團隊不斷調整安全工作重點。
IDG《2019 安全重點研究》發布于 2019 年 7 月底,揭示未來一年中安全重點的變化趨勢。該研究基于對全球 528 名安全專業人士的調查,覆蓋網絡安全開支、匯報結構、技術采納及所有這些背后的驅動因素。
以下便是研究結果摘要。
1. 安全預算上漲
幾乎所有公司都預期來年安全開支會更多或者持平,但未必會用在安全人員認為最需要的地方。新的隱私和安全監管是推動安全預算增長的原因之一。2/3 (66%) 的受訪者認為合規指令是安全開支的驅動因素。但部分受訪者 (27%) 將合規指令視為對戰略計劃的干擾。
僅 4% 的受訪者預期自身安全預算會減少,50% 預期會增加,46% 預期持平。安全預算的其他決定性因素包括最佳實踐 (73%)、公司內部安全事件響應 (39%)、董事會命令,以及在另一公司或商業合作伙伴層面響應安全事件 (55%)。
研究報告作者指出,盡管第一美國集團 (First American Corporation) 8.85 億記錄泄露這種重磅事件以往能推動安全開支增長,但今年的研究顯示,此類事件對安全預算的影響在減小。報告中寫道:目前為止,最佳實踐和合規指令是安全預算最大的推動力。但二者都存在爭議性弱點。專家指出,即使是出自 NIST 和 COBIT 的公認最佳實踐框架也有局限性,公司企業很難在自身獨特環境中貫徹其指導思想和獲取最佳效果。
2. 保護敏感數據是重中之重
歐盟《通用數據保護條例》(GDPR) 已于 2018 年 5 月生效。《加州消費者隱私法案》(CCPA) 將在 2020 年 1 月 1 日生效。這些法令和其他現有或即將推出的隱私監管規定,將公司企業的關注重點聚焦到了個人可識別信息 (PII) 保護上。IDG 研究報告中對此也有反映:59% 的受訪者稱隱私信息保護是其首要安全工作重點。
接下來的安全工作重點則將直接有助于保護 PII 和其他資產。安全意識培訓 (44%) 被廣泛認為是減少網絡釣魚和其他社會工程攻擊的有效方式。受訪者的安全工作重點還包括:升級 IT 及數據安全以提升彈性 (39%),提高對外部威脅的理解 (34%)、更好地利用數據和分析 (24%),以及降低 IT 安全基礎設施復雜度 (22%)。
3. 花在員工身上的安全投資比重最大,但沒大多少
數據顯示,1/4 的安全開支將花在安全人才身上。這是安全開支占比最高的一項,但工具和技術 (23%),以及基礎設施和設備 (22%) 緊隨其后,不遑多讓。僅 11% 的安全開支將流向云服務,12% 投入合約服務。
4. 半數中小企業缺乏安全高管
88% 的企業級公司擁有安全高管,但僅 51% 的中小企業 (SMB) 有此配置。多數安全高管的頭銜是 CISO 或 CSO(大企業 74%,中小企業 28%)。
安全高管通常向 CIO 匯報 (31%)。22% 直接向 CEO 匯報,7% 直接向董事會匯報。
5. 零信任熱門,區塊鏈遇冷
近半數受訪者稱正積極研究零信任技術,或關注零信任技術。36% 的受訪者稱正在研究區塊鏈,但 50% 的受訪者對區塊鏈技術毫無興趣——本項調查研究中所列全部技術里被稱 “沒興趣” 最多的。
2019 IDG 安全重點研究顯示的受熱捧的安全技術
該調查結果顯示出對一些某種意義上的非常規安全工具和方法的綜合吸收。這些或新或另類的安全工具和方法包括零信任技術、DevSecOps、誘騙技術,以及構筑機器學習及人工智能新興應用基礎的大數據分析。
- IDG《2019 安全重點研究》:https://www.idg.com/tools-for-marketers/2019-security-priorities-study/
- IDG《2019 安全重點研究》執行摘要:https://images.idgesg.net/assets/2019/10/201920security20priorities20executive20summary_final.pdf
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
