網(wǎng)絡(luò)安全的狀況正在經(jīng)歷拐點(diǎn)。安全風(fēng)險(xiǎn)程度和安全事件數(shù)量呈指數(shù)級增長，安全運(yùn)營團(tuán)隊(duì)疲于應(yīng)對，苦不堪言。威脅形勢瞬息萬變，各種威脅的復(fù)雜度越來越高，數(shù)量越來越大，傳統(tǒng)方法已完全無法有效應(yīng)對。

網(wǎng)絡(luò)犯罪這種潛在威脅已然上升至危機(jī)水平。盡管很難準(zhǔn)確量化，但根據(jù)估算，網(wǎng)絡(luò)犯罪給全球經(jīng)濟(jì)造成的損失在每年3750億～5750億美元之間，沒有地區(qū)或行業(yè)可以置身事外。

IBM擁有廣泛的集成式安全軟件和服務(wù)組合，可滿足企業(yè)在預(yù)防、檢測、響應(yīng)和糾正安全問題方面的需求，幫助他們預(yù)測并及早采取行動(dòng)，消除網(wǎng)絡(luò)安全風(fēng)險(xiǎn)帶來的影響。IBM安全事業(yè)部幫助客戶建立安全免疫系統(tǒng)，并由分析系統(tǒng)、實(shí)時(shí)防御系統(tǒng)，以及公認(rèn)的專家提供強(qiáng)大的支持。

在充滿挑戰(zhàn)的時(shí)代培養(yǎng)新能力

安全領(lǐng)導(dǎo)正在努力彌補(bǔ)三個(gè)方面的能力欠缺，即情報(bào)、速度和準(zhǔn)確性。一些企業(yè)開始研究認(rèn)知安全解決方案的可能性，以便填補(bǔ)這些缺口，主動(dòng)預(yù)防風(fēng)險(xiǎn)和威脅。

人們對認(rèn)知技術(shù)抱有很高的期望。在我們的調(diào)研中，57%的安全領(lǐng)導(dǎo)相信認(rèn)知技術(shù)能夠有效抵御網(wǎng)絡(luò)犯罪，22%的受訪者已經(jīng)開啟網(wǎng)絡(luò)安全認(rèn)知時(shí)代之旅，他們認(rèn)為自己對網(wǎng)絡(luò)安全很了解、很熟悉，而且具備所必需的資源。我們將這個(gè)群體稱之為“捷足先登型”。要開啟認(rèn)知安全之旅，就必須研究自己的弱點(diǎn)，這將決定如何運(yùn)用認(rèn)知技術(shù)擴(kuò)充自己的能力，以及如何為利益相關(guān)方制定教育培訓(xùn)和投資計(jì)劃。

執(zhí)行摘要

網(wǎng)絡(luò)安全的狀況正在經(jīng)歷拐點(diǎn)。安全風(fēng)險(xiǎn)程度和安全事件數(shù)量呈指數(shù)級增長，安全運(yùn)營團(tuán)隊(duì)疲于應(yīng)對，苦不堪言。威脅形勢瞬息萬變，各種威脅的復(fù)雜度越來越高，數(shù)量越來越大，傳統(tǒng)方法已完全無法有效應(yīng)對。安全事故和安全違規(guī)的影響越來越大，伴隨而來的是經(jīng)濟(jì)損失和安全風(fēng)險(xiǎn)迅速躥升。許多企業(yè)因缺乏具備相應(yīng)技能的安全專家，處境更加窘迫。所有這些壓力都使得企業(yè)更難維持良好的數(shù)字免疫系統(tǒng)，因此無法保護(hù)自身的安全。

在本報(bào)告中，我們采訪了35個(gè)國家和地區(qū)的18個(gè)行業(yè)中的700位首席信息官（CIO）和其他安全領(lǐng)導(dǎo)。我們的目標(biāo)是揭示這些領(lǐng)導(dǎo)所面臨的挑戰(zhàn)、他們的不足，以及正在采取哪些計(jì)劃來彌補(bǔ)這些不足之處。我們還希望了解他們對于認(rèn)知安全解決方案的看法，他們認(rèn)為這些解決方案有多大幫助，他們對于實(shí)施這些解決方案的準(zhǔn)備情況以及存在哪些阻礙因素。

我們發(fā)現(xiàn)，安全領(lǐng)導(dǎo)所面臨的挑戰(zhàn)主要是威脅越來越復(fù)雜，而他們無法快速加以應(yīng)對。這些領(lǐng)導(dǎo)擔(dān)心安全事故會(huì)嚴(yán)重影響目前的業(yè)務(wù)運(yùn)營以及將來的企業(yè)聲譽(yù)。安全領(lǐng)導(dǎo)感覺到自己在保護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全以及迅速作出智能威脅響應(yīng)方面的效率并不高。但是，他們希望在未來幾年內(nèi)彌補(bǔ)這些缺陷，獲得合適的資源解決這些問題非常困難，面對越來越高的成本和越來越嚴(yán)重的安全技能資源短缺情況，安全領(lǐng)導(dǎo)希望能夠更好地向業(yè)務(wù)領(lǐng)導(dǎo)證明安全投資的合理性。

隨著企業(yè)收集越來越多的安全數(shù)據(jù)，應(yīng)用越來越多的分析功能，不斷增加的工作量即將達(dá)到通過人工方式進(jìn)行處理的極限。一些企業(yè)希望通過認(rèn)知安全解決方案來應(yīng)對這種狀況，幫助彌補(bǔ)在情報(bào)、速度和準(zhǔn)確性方面的缺口。盡管安全認(rèn)知技術(shù)還處于初級階段，但人們對其潛力抱有很大的希望并持樂觀態(tài)度。

我們的調(diào)研受訪者表示，他們希望從認(rèn)知安全解決方案中獲得的主要收益包括：提高威脅檢測速度，改進(jìn)響應(yīng)決策能力，顯著縮短事故響應(yīng)時(shí)間，增強(qiáng)在辨別是安全事件還是真正事故方面的信心。盡管前景光明，但要大范圍采用這種解決方案，仍需要進(jìn)行大量的教育培訓(xùn)和準(zhǔn)備工作。

我們在調(diào)研中發(fā)現(xiàn)了一個(gè)在安全解決方案方面“捷足先登，率先進(jìn)入認(rèn)知時(shí)代”的群體。我們在研究安全有效性、對認(rèn)知的準(zhǔn)備情況和認(rèn)知度時(shí)，發(fā)現(xiàn)了一些充滿熱情的安全領(lǐng)導(dǎo)，他們認(rèn)為自己的企業(yè)已經(jīng)做好充分準(zhǔn)備，可以立即進(jìn)入安全解決方案的認(rèn)知時(shí)代?？傮w而言，這些領(lǐng)導(dǎo)往往更熟悉認(rèn)知解決方案，對自己企業(yè)的安全防御能力以及減少資源獲取障礙方面有更強(qiáng)的信心。

隨著認(rèn)知安全解決方案越來越成熟，應(yīng)用越來越廣泛，任何企業(yè)都將能夠從中受益。如果你認(rèn)為自己的企業(yè)已經(jīng)做好準(zhǔn)備，并決定開啟認(rèn)知之旅，那么第一步就是確定自己希望在哪些薄弱環(huán)節(jié)運(yùn)用認(rèn)知安全解決方案。然后了解可能的用例，并與自己的薄弱環(huán)節(jié)對應(yīng)。如果業(yè)務(wù)利益相關(guān)方要求證明投資的合理性，那么還需要花時(shí)間與他們進(jìn)行交流，說明認(rèn)知安全解決方案的優(yōu)點(diǎn)。要強(qiáng)調(diào)一點(diǎn)，那就是必須使用高管能夠理解的業(yè)務(wù)語言，證明這些解決方案可以改進(jìn)企業(yè)的整體安全態(tài)勢。通過采取這些前期步驟，你的企業(yè)就可以捷足先登，率先進(jìn)入網(wǎng)絡(luò)安全的認(rèn)知時(shí)代。

目前環(huán)境

如果只看當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的表象，從我們所調(diào)研的安全高管那里可以獲得這樣一種印象，即目前的狀況都在掌握之中。事實(shí)上，這些專業(yè)人士非常相信自己不斷壯大的技術(shù)和組織能力。我們問到網(wǎng)絡(luò)安全的準(zhǔn)備情況時(shí)，大多數(shù)（77%）的受訪者認(rèn)為自己的企業(yè)與同行處于同一水平。這些受訪者對于此后2～3年自己企業(yè)的網(wǎng)絡(luò)安全狀況也非常樂觀，86%的企業(yè)表示他們將會(huì)比同行做得更好。

這些回答可能并不令人驚訝，但是檢驗(yàn)他們能否做到才更重要。安全領(lǐng)導(dǎo)認(rèn)為他們并不比任何人做得差，而且很有信心地認(rèn)為目前正在進(jìn)步，而且還將繼續(xù)進(jìn)步。將近四分之三的受訪者表示，他們在解決企業(yè)基本安全問題方面非常有成效，72%的受訪者表示他們在“IT保障”方面非常有成效，71%的受訪者表示他們在提高整個(gè)企業(yè)的風(fēng)險(xiǎn)意識(shí)方面非常有成效。但我們需要深入探討一下挑戰(zhàn)、影響、能力、資金和安全投資回報(bào)方面的實(shí)際情況。

速度要求

對于安全領(lǐng)導(dǎo)而言，目前所面臨的最主要挑戰(zhàn)是縮短響應(yīng)和解決事故的平均時(shí)間。45% 的受訪者認(rèn)為縮短這些時(shí)間是當(dāng)今最主要的網(wǎng)絡(luò)安全挑戰(zhàn)，企業(yè)并不了解這種挑戰(zhàn)在未來2年到3年會(huì)朝什么方向發(fā)展。展望未來，53% 的受訪者認(rèn)為提高響應(yīng)速度仍將是最主要的網(wǎng)絡(luò)安全挑戰(zhàn)（見圖1）。

盡管有80%的企業(yè)告訴我們，他們的事故響應(yīng)速度已經(jīng)比兩年前快了很多（平均快了16%），但上述問題依然存在。86%的企業(yè)希望在未來2年到3年內(nèi)進(jìn)一步加快響應(yīng)速度（平均目標(biāo)是加快24%）。

響應(yīng)速度對于企業(yè)而言極其重要。企業(yè)響應(yīng)事故的時(shí)間越長，事故造成的損失就可能越大，處理危機(jī)所花的資金就可能越多。時(shí)間無疑會(huì)增加風(fēng)險(xiǎn)所造成的損失。

對于安全領(lǐng)導(dǎo)而言，另一個(gè)越來越重大的挑戰(zhàn)就是如何改進(jìn)安全風(fēng)險(xiǎn)分析。我們的調(diào)研中23%的受訪領(lǐng)導(dǎo)認(rèn)為這是目前的主要挑戰(zhàn)之一，但是52%的受訪領(lǐng)導(dǎo)認(rèn)為改進(jìn)安全風(fēng)險(xiǎn)分析將成為未來2～3年最主要的網(wǎng)絡(luò)安全挑戰(zhàn)。安全分析員必須幫助收集資訊，確定哪些威脅的嚴(yán)重性最高，并快速發(fā)現(xiàn)活動(dòng)中的模式和偏差。安全領(lǐng)導(dǎo)必須想盡一切辦法提高威脅響應(yīng)速度，管理風(fēng)險(xiǎn)復(fù)雜性。

更廣泛的憂慮

在我們的調(diào)研中，接近四分之三的受訪者表示，在過去兩年中，安全入侵導(dǎo)致了嚴(yán)重的運(yùn)營中斷事件。但受訪者對未來幾年安全入侵造成損失的看法發(fā)生了顯著的變化。

企業(yè)越來越擔(dān)心在將來，安全入侵會(huì)導(dǎo)致企業(yè)品牌聲譽(yù)受損，擔(dān)憂程度遠(yuǎn)遠(yuǎn)超過運(yùn)營中斷。受訪者展望未來時(shí)，擔(dān)心聲譽(yù)受損的人數(shù)幾乎翻了一倍，只有35%的人將聲譽(yù)受損確定為過去兩年安全入侵的結(jié)果，而68%的人擔(dān)心未來會(huì)出現(xiàn)這個(gè)問題（見圖2）。這種轉(zhuǎn)變表明許多安全領(lǐng)導(dǎo)害怕安全入侵不斷擴(kuò)大的影響。安全入侵的后果已經(jīng)不僅僅關(guān)乎運(yùn)營，還在于聲譽(yù);聲譽(yù)受損會(huì)造成收入下降、信任減退和客戶流失。

網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)不斷攀升的成本也成為未來更實(shí)質(zhì)的問題，與目前相比，對這個(gè)問題的關(guān)注人數(shù)已經(jīng)顯著增加。由于成功入侵的風(fēng)險(xiǎn)一直存在，因此，默認(rèn)情況下企業(yè)需要花費(fèi)更多資金來加以應(yīng)對。安全領(lǐng)導(dǎo)通常假設(shè)，如果他們遭遇入侵事件，一定要亡羊補(bǔ)牢的話，他們會(huì)選擇升級人員技能，針對特定問題的解決方案和基礎(chǔ)架構(gòu)，以便保持安全。

安全缺陷

我們詢問受訪者：在各種安全能力中，他們認(rèn)為哪些對于他們的安全狀況最重要，以及他們認(rèn)為自己擅長哪些能力。安全領(lǐng)導(dǎo)普遍認(rèn)為自己在所有方面都一碗水端平，因?yàn)樗麄儾幌肼┑羧魏问虑椤?/p>

但是，在資源有限的情況下，不可能做到面面俱到，特別是在新技術(shù)、新方法和新挑戰(zhàn)層出不窮的情況下。

大多數(shù)受訪者從技術(shù)和組織立場出發(fā)，表示他們很滿意自己處理“IT衛(wèi)生”和管理企業(yè)風(fēng)險(xiǎn)意識(shí)的方式。受訪者認(rèn)為非常重要但自己沒有能力應(yīng)對的領(lǐng)域正是我們想要研究的領(lǐng)域（見圖3）。網(wǎng)絡(luò)和數(shù)據(jù)保護(hù)以及威脅響應(yīng)都屬于這個(gè)范疇。

受訪者表示，在威脅響應(yīng)速度、安全信息事件管理（SIEM）、網(wǎng)絡(luò)活動(dòng)檢測、篩選和數(shù)據(jù)分類，以及預(yù)防損失方面，他們?nèi)狈λ璧挠行浴．?dāng)然，面對數(shù)量越來越多和越來越復(fù)雜的安全風(fēng)險(xiǎn)，企業(yè)必須搶先一步，集中精力提高響應(yīng)速度、降低管理復(fù)雜性，并借助更好的威脅分析技術(shù)，從而顯著提高自身防御能力。

管理資產(chǎn)負(fù)債表

安全領(lǐng)導(dǎo)需要關(guān)注的方面非常多。他們預(yù)計(jì)要實(shí)現(xiàn)有效的網(wǎng)絡(luò)安全性，成本會(huì)大幅增加，而且在短期內(nèi)沒有下降的可能。78%的受訪者表示，過去兩年網(wǎng)絡(luò)安全的成本在不斷增加，84%的受訪者預(yù)計(jì)未來2～3年成本還會(huì)繼續(xù)上升。事實(shí)上，超過70%的受訪者在網(wǎng)絡(luò)安全方面的花費(fèi)超過總體IT預(yù)算的10%（大部分受訪者的支出在10%～15%之間）。這些支出大部分都用在預(yù)防和檢測方面。極端情況下，我們看到金融機(jī)構(gòu)每年在網(wǎng)絡(luò)安全方面的支出最多達(dá)5億美元。因?yàn)楦嗟馁Y金投入并不一定保證得到更有效的保護(hù)，這種增加投資的做法長期而言是不可持續(xù)的，安全領(lǐng)導(dǎo)在證明投資有效性方面承受著與日俱增的壓力。

92%的受訪者表示，當(dāng)他們?yōu)榫W(wǎng)絡(luò)安全計(jì)劃申請資金時(shí)，需要提供投資回報(bào)分析或其他財(cái)務(wù)分析，以便證明投資合理性，獲得高層批準(zhǔn)。在論證過程中，用于證明投資合理性的兩個(gè)最主要因素包括在企業(yè)內(nèi)清楚地說明當(dāng)前的風(fēng)險(xiǎn)狀況（61%的受訪者指出這一點(diǎn)），以及從財(cái)務(wù)高管、風(fēng)險(xiǎn)管理高管、運(yùn)營高管和其他主要高管那里獲得支持（51%的受訪者指出這一點(diǎn)）。安全領(lǐng)導(dǎo)必須使用業(yè)務(wù)語言說明自己的需求，確保獲得其他主要高管的支持。從現(xiàn)在開始，他們必須尋求新的方法來證明網(wǎng)絡(luò)安全投資成本的合理性并展示價(jià)值。認(rèn)為安全措施僅僅是買了一份保險(xiǎn)，或者認(rèn)為這是開展業(yè)務(wù)所產(chǎn)生的成本的觀點(diǎn)必須予以消除。

彌補(bǔ)不足

好消息是，我們采訪的安全領(lǐng)導(dǎo)似乎意識(shí)到了自己的欠缺之處，并打算在不久的將來加以彌補(bǔ)。企業(yè)正在尋求實(shí)施各種計(jì)劃，提高自己應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的水平（見圖4）?，F(xiàn)在的工作主要集中在通過教育和培訓(xùn)，改進(jìn)員工的行為表現(xiàn)，67%的企業(yè)正在這方面采取措施，40%的受訪者還應(yīng)用身份監(jiān)控軟件。這些通常被認(rèn)為是比較基本的選項(xiàng)。

我們預(yù)計(jì)未來2～3年這些改進(jìn)舉措會(huì)發(fā)生很大的變化。事實(shí)上，受訪者指出，排名前三的舉措將與目前完全不同。57%的受訪者認(rèn)為，排名第一的將會(huì)是提高網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)層面的安全性。建立或更新SOC能力的將排名第二。榜單上新的第三名是提高事故響應(yīng)速度。所有這些方面，都與之前所確定的有效性缺陷相一致。

可以看到安全領(lǐng)導(dǎo)正在彌補(bǔ)自己的不足，這非常好，但是優(yōu)先措施的大幅變化可能會(huì)產(chǎn)生新的缺口或擴(kuò)大現(xiàn)有的問題。無論如何，安全領(lǐng)導(dǎo)應(yīng)確保解決與業(yè)務(wù)最相關(guān)的問題。真正的問題在于，這些預(yù)期的未來努力是否足夠。

暴露缺口

所有這些挑戰(zhàn)、薄弱環(huán)節(jié)、努力和壓力都突出了三個(gè)關(guān)鍵缺口，即情報(bào)、速度和準(zhǔn)確性。安全領(lǐng)導(dǎo)必須彌補(bǔ)這些缺口，同時(shí)有效控制成本和投資回報(bào)。

情報(bào)缺口

65%的受訪者表示，由于資源不足而承受最嚴(yán)峻挑戰(zhàn)的方面是威脅研究。

40%的受訪者表示，跟上新威脅和漏洞的步伐是重大的網(wǎng)絡(luò)安全挑戰(zhàn)。

速度缺口

當(dāng)今和未來最嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)是縮短平均事故響應(yīng)時(shí)間和問題解決時(shí)間。盡管事實(shí)上，80%的受訪者表示他們的事故響應(yīng)速度已經(jīng)比兩年前快了很多。

受訪者期望在未來幾年加強(qiáng)對這個(gè)方面的關(guān)注。只有27%的受訪者表示，他們目前實(shí)施了旨在提高事故響應(yīng)速度的計(jì)劃，但是未來2～3年這個(gè)比例將會(huì)增加到43%。

準(zhǔn)確性缺口

受訪者表示，目前排在第二位的挑戰(zhàn)是優(yōu)化警報(bào)的準(zhǔn)確性（現(xiàn)在的誤報(bào)太多）。

61%的受訪者表示，由于資源不足導(dǎo)致的另一個(gè)備受壓力的方面是威脅識(shí)別、威脅評估以及了解哪些潛在事故會(huì)進(jìn)一步升級。

采用認(rèn)知安全解決方案

為了彌補(bǔ)缺口，需要不同的技術(shù)和方法。長期來看，企業(yè)不能僅僅針對目標(biāo)來投資或聘用人員。

近幾年來，安全技術(shù)在不斷發(fā)展，已經(jīng)從簡單的網(wǎng)絡(luò)邊界控制（例如，專注于靜態(tài)防御）轉(zhuǎn)變?yōu)楦呒壍陌踩閳?bào)功能（例如，專注于實(shí)時(shí)信息和模式偏差）?，F(xiàn)在，我們開始進(jìn)入安全認(rèn)知時(shí)代，這是一個(gè)由各種解決方案定義的時(shí)代，通過分析結(jié)構(gòu)化和非結(jié)構(gòu)化的安全數(shù)據(jù)了解背景信息、行為和含義。認(rèn)知安全能力的目標(biāo)是在安全分析人員及其技術(shù)之間建立新的合作關(guān)系。這些解決方案能夠解釋和組織信息，說明信息的含義，還提供基本原理總結(jié)。它們還能隨著數(shù)據(jù)的積累不斷學(xué)習(xí)，并從互動(dòng)中獲得洞察能力。

認(rèn)知安全解決方案的優(yōu)點(diǎn)

通過一系列由認(rèn)知技術(shù)支持的解決方案，有如下優(yōu)點(diǎn)。

（1）為初級SoC分析人員提供原本需要多年經(jīng)驗(yàn)才能積累的最佳實(shí)踐和洞察，增強(qiáng)他們的能力。

（2）應(yīng)用博客和其他來源的外部情報(bào)，提高響應(yīng)速度，以便可以在征兆顯現(xiàn)之前采取行動(dòng)。

（3）利用高級分析方法快速發(fā)現(xiàn)風(fēng)險(xiǎn)，加快檢測存在風(fēng)險(xiǎn)的用戶行為、數(shù)據(jù)泄露和惡意軟件感染。

（4）通過自動(dòng)收集和推理本地?cái)?shù)據(jù)和外部數(shù)據(jù)，獲得有關(guān)安全事故的更全面的背景信息。

如何使用認(rèn)知安全技術(shù)？

認(rèn)知系統(tǒng)用于分析安全趨勢，將海量的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)提煉為切實(shí)可行的知識(shí)。安全領(lǐng)導(dǎo)和分析人員不可能消化吸收所有人類生成的安全知識(shí)，包括研究文檔、行業(yè)刊物、分析報(bào)告和博客等。而認(rèn)知系統(tǒng)有能力將上述信息與更為傳統(tǒng)的安全數(shù)據(jù)組合在一起。認(rèn)知安全解決方案可以將數(shù)據(jù)驅(qū)動(dòng)的自動(dòng)化安全技術(shù)、方法和流程結(jié)合起來，確保實(shí)現(xiàn)最高水平的相關(guān)性和準(zhǔn)確性。

認(rèn)知安全解決方案有助于增強(qiáng)SoC分析人員的能力，幫助他們提高響應(yīng)速度，更好地發(fā)現(xiàn)威脅，提高應(yīng)用安全性，降低整個(gè)企業(yè)范圍的風(fēng)險(xiǎn)。認(rèn)知解決方案的目標(biāo)是讓分析人員從日常重復(fù)性的安全任務(wù)中解放出來，從而能夠集中精力處理最具智力挑戰(zhàn)性的工作。

認(rèn)知安全解決方案的前景和挑戰(zhàn)

在我們的調(diào)研中，許多受訪者認(rèn)為認(rèn)知安全解決方案產(chǎn)生的收益能夠彌補(bǔ)他們面臨的缺口。盡管認(rèn)知安全是一個(gè)新興技術(shù)領(lǐng)域，但是57%的受訪者認(rèn)為認(rèn)知安全解決方案可以減緩網(wǎng)絡(luò)犯罪的速度，他們看到了這種解決方案的前景和潛在的收益。

當(dāng)我們要求安全領(lǐng)導(dǎo)選擇認(rèn)知安全解決方案的收益時(shí)，40%的人提到它們有助于提高檢測速度和事件響應(yīng)決策能力，37%的人指出它們顯著提高事故響應(yīng)速度，36%的人表示它們有助于增強(qiáng)在辨別是安全事件還是真正事故方面的信心。受訪者希望認(rèn)知安全解決方案能夠彌補(bǔ)他們主要的缺口，他們需要這些解決方案在情報(bào)、速度和準(zhǔn)確性方面提供幫助。

現(xiàn)在，受訪者中僅有7%的人正在實(shí)施認(rèn)知安全解決方案，為改善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)做準(zhǔn)備。由于認(rèn)知能力是新生事物，因此，目前采用率低可以理解。然而，不久的將來實(shí)施認(rèn)知解決方案的企業(yè)有望翻3倍，達(dá)到21%。未來幾年，我們會(huì)看到認(rèn)知能力的采用率迅速躥升，因?yàn)榘踩I(lǐng)導(dǎo)需要這種能力以增強(qiáng)自身的數(shù)字免疫系統(tǒng)。

受訪者也認(rèn)識(shí)到了采用認(rèn)知安全解決方案的潛在挑戰(zhàn)。安全領(lǐng)導(dǎo)并非不了解這種技術(shù)理念，他們也并非不相信認(rèn)知能力可以比其他解決方案帶來更多的價(jià)值和好處;挑戰(zhàn)主要在于技能、流程和方法等方面。45%的受訪者表示，采用認(rèn)知能力所面臨的最主要挑戰(zhàn)在于其從能力角度而言還沒有做好準(zhǔn)備，而且缺乏內(nèi)部實(shí)施技能（見圖5）。要減輕這些擔(dān)心，有大量的培訓(xùn)和準(zhǔn)備工作要做。

率先進(jìn)入認(rèn)知時(shí)代

為了了解誰已經(jīng)準(zhǔn)備好率先進(jìn)入安全認(rèn)知時(shí)代，我們根據(jù)受訪者自己描述的安全有效性水平、認(rèn)知了解程度和準(zhǔn)備情況，對他們進(jìn)行了特征分析。通過對受訪者的回答進(jìn)行分析，揭示出三個(gè)截然不同的群體（見圖6）。

備受壓力型占樣本總體的52%，特征是企業(yè)遇到資金和人員方面的挑戰(zhàn)，對認(rèn)知安全的功能和價(jià)值的熟悉度較低。這些企業(yè)通常分配給網(wǎng)絡(luò)安全的IT預(yù)算百分比較低，在獲取足夠的資金和解決人員短缺問題方面存在挑戰(zhàn)的可能性更大。他們還表示缺乏足夠的資金是采用認(rèn)知技術(shù)所面臨的挑戰(zhàn)之一。

謹(jǐn)小慎微型占樣本總體的27%，他們不存在備受壓力型企業(yè)所遇到的那些資源挑戰(zhàn)，但是他們還沒有完全準(zhǔn)備好立即實(shí)施新一代認(rèn)知技術(shù)支持的安全解決方案。

捷足先登型占樣本總體的22%，是最了解和最熱衷于認(rèn)知安全解決方案的企業(yè)群體。捷足先登型企業(yè)對認(rèn)知安全比其他群體有更高的熟悉度和信心，可以獲得更多預(yù)算，實(shí)現(xiàn)更出色的投資回報(bào)。

他們認(rèn)為自己在安全實(shí)踐方面運(yùn)用了更成熟的方法，他們當(dāng)中更高比例的人表示其安全運(yùn)營團(tuán)隊(duì)能夠跟上威脅方面的變化。他們有效地與高管和董事會(huì)成員溝通風(fēng)險(xiǎn)問題，并且將網(wǎng)絡(luò)風(fēng)險(xiǎn)問題整合到企業(yè)風(fēng)險(xiǎn)模式中（見圖7）。安全領(lǐng)導(dǎo)希望從認(rèn)知安全解決方案中獲得什么？在與這些捷足先登型企業(yè)領(lǐng)導(dǎo)的對話過程中，我們發(fā)現(xiàn)他們希望認(rèn)知安全解決方案能夠做到如下幾項(xiàng)。

（1）永續(xù)運(yùn)營，提供持續(xù)的支持。

（2）幫助減少誤報(bào)，發(fā)現(xiàn)行為異?，F(xiàn)象。

（3）更好地理解威脅形勢，提供事故的背景信息。

（4）根據(jù)獨(dú)特的行業(yè)、地區(qū)和其他法規(guī)要求支持監(jiān)管、風(fēng)險(xiǎn)管理與合規(guī)。

（5）改變安全工作的性質(zhì)，幫助分析人員更智慧地開展工作，提供更高的價(jià)值。

可以預(yù)料，感覺自己足夠成熟而且資源限制比較少的安全領(lǐng)導(dǎo)會(huì)率先利用像認(rèn)知安全這樣的新興技術(shù)。然而，必須認(rèn)識(shí)到，具備其他知識(shí)和經(jīng)驗(yàn)的每個(gè)人，都可以應(yīng)用認(rèn)知技術(shù)來彌補(bǔ)他們的不足，并消除分析人員的限制因素，從而改進(jìn)安全運(yùn)營。

建議

我們研究了目前的安全形勢，以便了解受訪者所面臨的壓力、挑戰(zhàn)和優(yōu)先任務(wù)。我們根據(jù)自己的觀察匯總了一些建議，旨在幫助你和你的企業(yè)為進(jìn)入認(rèn)知時(shí)代做好準(zhǔn)備。

認(rèn)清自己的弱點(diǎn)

安全領(lǐng)導(dǎo)希望提高反應(yīng)速度，降低復(fù)雜性，他們越來越擔(dān)心安全事故導(dǎo)致企業(yè)聲譽(yù)受損。了解你的企業(yè)的主要弱點(diǎn)和漏洞，它們有什么聯(lián)系？優(yōu)先任務(wù)是什么？

（1）你是否缺乏所需的情報(bào)和威脅研究？

（2）事故響應(yīng)和解決速度對于支持運(yùn)營而言是否足夠快？

（3）你在區(qū)分安全事件和真正事故方面，或在與更合適的背景環(huán)境整合方面是否存在困難？

熟悉認(rèn)知安全能力

采取整體和正式的方法了解有關(guān)認(rèn)知安全解決方案的信息。你的企業(yè)可能在能力、成本和實(shí)施方面存在很多誤解，需要做出如下努力。

（1）需要了解認(rèn)知安全解決方案的可能用例，并將這些用例與企業(yè)的薄弱環(huán)節(jié)對應(yīng)起來。是否希望獲得有關(guān)安全事故的更多背景信息，從而提高決策水平，或者采用新方法主動(dòng)評估風(fēng)險(xiǎn)？

（2）計(jì)劃如何與技術(shù)和業(yè)務(wù)利益相關(guān)方溝通認(rèn)知安全解決方案的益處，為團(tuán)隊(duì)和高管制定培訓(xùn)方案。

（3）發(fā)現(xiàn)和彌補(bǔ)可能會(huì)阻礙你的企業(yè)采用該技術(shù)的技能缺口。

制定投資計(jì)劃

如果一項(xiàng)技術(shù)在市場上嶄露頭角，而且未經(jīng)過驗(yàn)證，那么構(gòu)建投資案例就非常困難，而且很難建立信任。因?yàn)?，我們的大部分受訪者表示，他們的資金申請需要提供投資回報(bào)分析或其他財(cái)務(wù)分析。所以，安全領(lǐng)導(dǎo)非常有必要為企業(yè)采用認(rèn)知解決方案準(zhǔn)備一套獨(dú)特的證明方法。具體如下。

（1）需要認(rèn)識(shí)到認(rèn)知安全解決方案的獨(dú)特性質(zhì)。不能僅僅關(guān)注傳統(tǒng)的安全投資理由，例如修復(fù)成本。而是要關(guān)注一個(gè)事實(shí)，即認(rèn)知安全有能力提高安全運(yùn)營的整體有效性。

（2）自己制定培訓(xùn)計(jì)劃，并使用該計(jì)劃說服企業(yè)中的其他高管，讓他們幫助構(gòu)建投資案例。

（3）創(chuàng)造性地思考，采用新穎的方式為認(rèn)知安全解決方案尋求投資，證明它們能夠?yàn)槠髽I(yè)帶來的幫助遠(yuǎn)不止投資回報(bào)。

尋求增強(qiáng)自身能力，無論成熟度如何

我們確定為捷足先登型的企業(yè)往往擁有更多的可用資源，對其能力有更高的信心，而且對立即實(shí)施認(rèn)知安全解決方案做好了準(zhǔn)備，但這并不意味著認(rèn)知安全解決方案只適用于這個(gè)群體。認(rèn)知安全解決方案是一個(gè)新興的技術(shù)領(lǐng)域，它獨(dú)特的性質(zhì)可以使所有類型的企業(yè)受益。

（1）如果貴公司屬于備受壓力型：確定認(rèn)知安全解決方案可以幫助改善的特定業(yè)務(wù)措施和彌補(bǔ)的技能短缺，然后構(gòu)建投資案例。

（2）如果貴公司屬于謹(jǐn)小慎微型：集中精力進(jìn)行溝通交流，減輕有關(guān)技能缺口的焦慮。

（3）如果貴公司屬于捷足先登型：用貴公司的熱情感染他人，為認(rèn)知試點(diǎn)實(shí)施選擇非常具體的用例，并確保這個(gè)用例與貴公司更廣泛的安全運(yùn)營息息相關(guān)。