Michael Nadeau

安全事務(wù)的預(yù)算與計(jì)劃工作從來都不是有章可循的。你也許可以通過現(xiàn)有的風(fēng)險(xiǎn)項(xiàng)來預(yù)測(cè)可能出現(xiàn)的安全威脅，但是在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)領(lǐng)域，唯一不變的就是它的不可預(yù)測(cè)性。再加上全球性疫情的影響，首席信息安全官們猛然發(fā)現(xiàn)，2021年自己該如何去尋找資源，又該如何分配它們？這成為了一大難題。

美國國際數(shù)據(jù)集團(tuán)（IDG）在2020年11月份發(fā)布了安全優(yōu)先事項(xiàng)研究報(bào)告。此項(xiàng)研究旨在闡明新冠疫情對(duì)于安全工作重心的影響，以及2021年計(jì)劃安全優(yōu)先事項(xiàng)和開支的決定因素。來自美國、亞太和歐洲的522名安全專家參與了調(diào)查，反映出疫情影響下企業(yè)評(píng)估以及應(yīng)對(duì)風(fēng)險(xiǎn)的方式將發(fā)生永久性改變。

從新的角度看風(fēng)險(xiǎn)

疫情開始流行之后，網(wǎng)絡(luò)安全上的威脅更甚于以往。大家都開始遠(yuǎn)程辦公，更易受到網(wǎng)絡(luò)攻擊的侵害。IDG的研究發(fā)現(xiàn)，過去一年中有36%的安全事件都涉及到試圖入侵企業(yè)數(shù)據(jù)的釣魚攻擊。

網(wǎng)絡(luò)威脅制造者們清楚，員工從辦公室轉(zhuǎn)移到各自家中辦公，這給企業(yè)的IT團(tuán)隊(duì)和安全管理帶來了不小的混亂，使其難以專注于網(wǎng)絡(luò)安全工作。調(diào)查數(shù)據(jù)顯示，29%的安全事件與未修復(fù)的軟件漏洞有關(guān)，而在大型企業(yè)中，34%的安全事件源于系統(tǒng)或服務(wù)的錯(cuò)誤配置。但是反過來說，如果沒有疫情，也很難判斷這些安全維護(hù)工作上的漏洞是否會(huì)產(chǎn)生。

隨著企業(yè)的技術(shù)革新和安全系統(tǒng)的更新，攻擊者也會(huì)隨之改變策略，精確地找到安全系統(tǒng)里新的薄弱環(huán)節(jié)，所以企業(yè)需要不斷審查其風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)策略。62%的受訪者預(yù)計(jì)疫情會(huì)影響他們應(yīng)對(duì)風(fēng)險(xiǎn)的方式。

絕大多數(shù)（87%）的受訪者認(rèn)為他們的企業(yè)不夠重視網(wǎng)絡(luò)風(fēng)險(xiǎn)。更確切地說，31%的人覺得他們的風(fēng)險(xiǎn)應(yīng)對(duì)部門沒有得到足夠的資金支持。30%的人表示，在程序開發(fā)階段安全性問題沒有得到徹底解決。另有約25%的人認(rèn)為公司沒有為用戶提供足夠的安全培訓(xùn)。

調(diào)查顯示，最普遍的風(fēng)險(xiǎn)應(yīng)對(duì)方式是花錢培養(yǎng)更多能夠處理安全威脅的人，選擇這種方式的人占到了43%。其次是38%的人愿意在制訂相應(yīng)計(jì)劃上加大投資，另有30%的人選擇及時(shí)更新業(yè)務(wù)連續(xù)性計(jì)劃。

疫情會(huì)增加安全預(yù)算嗎？答案是不確定

有趣的是，雖然人們對(duì)于如何應(yīng)對(duì)后疫情時(shí)代的安全危機(jī)深感疑慮，但這并不代表安全方面的預(yù)算一定會(huì)增加。數(shù)據(jù)顯示，41%的受訪者預(yù)計(jì)2021年總體安全預(yù)算會(huì)有所上升，但只有33%的人認(rèn)為這是由于疫情所致。另一方面，24%的人表示受疫情影響，其安全預(yù)算將低于預(yù)期，而53%的人認(rèn)為其預(yù)算不會(huì)有明顯的改變，甚至有6%的人覺得預(yù)算會(huì)減少。

受訪者列出了幾個(gè)影響他們制訂預(yù)算計(jì)劃的主要因素。其中，遙遙領(lǐng)先的方案是最佳實(shí)踐引導(dǎo)和法規(guī)約束，分別占到61%和59%。最佳實(shí)踐引導(dǎo)對(duì)于中小型企業(yè)來說更加適用（70%），而合規(guī)性對(duì)于大型企業(yè)更加重要（62%）。大型企業(yè)在員工工資和業(yè)務(wù)變更的支出上受到疫情影響要比中小型企業(yè)更大（47%對(duì)42%）。

無論預(yù)算是增是減，安全事項(xiàng)的最大單項(xiàng)支出都是人工，其中員工工資占到23%，咨詢顧問占8%。另外大部分支出用于系統(tǒng)、軟件和服務(wù)，其中19%用于內(nèi)部基礎(chǔ)架構(gòu)和設(shè)備，17%用于內(nèi)部工具和軟件，12%用于云端安全服務(wù)。

疫情之下脫穎而出的技術(shù)

疫情給安全工作團(tuán)隊(duì)帶來了許多新挑戰(zhàn)，也凸顯了一些老問題。很多企業(yè)開始重新評(píng)估其網(wǎng)絡(luò)安全技術(shù)，并加快部署新技術(shù)的計(jì)劃?，F(xiàn)在，安全性覆蓋極其分散的終端，而且所面對(duì)的網(wǎng)絡(luò)威脅更多、更復(fù)雜。安全員需要能夠更嚴(yán)格地控制訪問權(quán)限、識(shí)別風(fēng)險(xiǎn)的工具，來幫助他們管理安全基礎(chǔ)架構(gòu)系統(tǒng)。IDG的研究表明，以下技術(shù)正在接受評(píng)估或試行。

零信任

零信任策略確保在任何地點(diǎn)、任何設(shè)備上的訪問都能得到更好的控制。在疫情之前，許多企業(yè)已經(jīng)開始試點(diǎn)零信任方案，甚至有些已經(jīng)正式部署?，F(xiàn)在，更多的公司開始認(rèn)真審視零信任方案。根據(jù)此項(xiàng)調(diào)查，已經(jīng)部署或正在試行零信任方案的企業(yè)從2019年的19%上升到了28%，而40%的人表示他們已將零信任方案列入計(jì)劃，或是在對(duì)具體選項(xiàng)進(jìn)行評(píng)估。

誘騙技術(shù)

誘騙技術(shù)令入侵者以為他們得到了真實(shí)的系統(tǒng)數(shù)據(jù)，而實(shí)際上他們?cè)谠L問虛擬的網(wǎng)絡(luò)。此類工具不但可以對(duì)入侵行為發(fā)出警報(bào)，還能分析這些威脅。這在網(wǎng)絡(luò)遭受攻擊時(shí)為安全團(tuán)隊(duì)爭(zhēng)取了寶貴的時(shí)間，并通過任務(wù)自動(dòng)化大大增強(qiáng)了防范能力。32%的受訪者表示他們?cè)诜e極研究誘騙技術(shù)。

認(rèn)證授權(quán)方案

隨著遠(yuǎn)程辦公的普及，人們有時(shí)需要在非機(jī)構(gòu)內(nèi)的設(shè)備上辦公，這也對(duì)認(rèn)證授權(quán)政策及工具提出了更高的要求。企業(yè)正在加速實(shí)施基于多元素和員工角色進(jìn)行認(rèn)證的方案，這可能需要升級(jí)或變更認(rèn)證授權(quán)系統(tǒng)，有32%的受訪者表示這正是他們明年的投資方向。

云服務(wù)和評(píng)估服務(wù)

受疫情影響，很多企業(yè)的工作側(cè)重點(diǎn)隨之轉(zhuǎn)變，需要對(duì)網(wǎng)絡(luò)安全的功能與服務(wù)進(jìn)行重新評(píng)估。為提高效率、節(jié)約成本，很多安全服務(wù)被外包。23%的受訪者表示他們計(jì)劃或已經(jīng)將云監(jiān)控和云數(shù)據(jù)保護(hù)服務(wù)外包，被外包的還有包括滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估和審計(jì)等在內(nèi)的安全評(píng)估服務(wù)。另外，分別有27%和25%的人預(yù)計(jì)安全部門將在訪問控制和應(yīng)用監(jiān)控上增大投入。

疫情對(duì)于風(fēng)險(xiǎn)情緒的持續(xù)影響

該研究的作者預(yù)測(cè)，大部分企業(yè)可能還要一年的時(shí)間才會(huì)恢復(fù)疫情之前的安全策略，而疫情很可能會(huì)帶來一些積極的變化。他們?cè)趫?bào)告中寫道：“安全領(lǐng)導(dǎo)者應(yīng)對(duì)風(fēng)險(xiǎn)的方式將發(fā)生永久性改變。隨著新冠疫情的出現(xiàn)，企業(yè)機(jī)密、敏感數(shù)據(jù)的保護(hù)得到了增強(qiáng)。無論是員工還是合作伙伴，對(duì)于網(wǎng)絡(luò)安全保護(hù)的意識(shí)也大為提高。”

本文作者M(jìn)ichael Nadeau是CSO集團(tuán)一名資深網(wǎng)絡(luò)編輯，同時(shí)是雜志、書籍和知識(shí)庫的編輯和出版商，致力于幫助企業(yè)從其資源計(jì)劃系統(tǒng)獲取最大收益。

原文網(wǎng)址

https：//www.csoonline.com/article/3598393/new-study-shows-pandemic-changing-short-and-long-term-approaches-to-risk.html？upd=1607240434743