作為ESG和信息系統(tǒng)安全協(xié)會(huì)(ISSA)最近發(fā)表的一篇題為《網(wǎng)絡(luò)安全專家的生活和時(shí)代》的研究報(bào)告的一部分，343名信息安全專業(yè)人士作為受訪者被要求確定其組織在過(guò)去幾年中采取的網(wǎng)絡(luò)安全行動(dòng)。這份清單可以為企業(yè)了解2018年的網(wǎng)絡(luò)安全趨勢(shì)和應(yīng)對(duì)即將到來(lái)的網(wǎng)絡(luò)安全威脅提供一個(gè)良好的參考依據(jù)。

[[214918]]

在報(bào)告中，一些回應(yīng)率最高的條目如下：

52%的組織采用了部分或全部NIST網(wǎng)絡(luò)安全框架 (CSF)

如果您沒(méi)有注意到這一點(diǎn)，您會(huì)驚訝地發(fā)現(xiàn)，NIST CSF已經(jīng)成為許多行業(yè)的標(biāo)準(zhǔn)風(fēng)險(xiǎn)管理工具，并且已經(jīng)演變成為制定網(wǎng)絡(luò)保險(xiǎn)的基準(zhǔn)指標(biāo)。1.1版草案最近出版了，承諾給網(wǎng)絡(luò)供應(yīng)鏈帶來(lái)更為清晰、通用的語(yǔ)言和可擴(kuò)展性。

最后，CSF很可能會(huì)與主管機(jī)構(gòu)委員會(huì)(COSO)風(fēng)險(xiǎn)管理框架(第二部分)相輔相成，其中風(fēng)險(xiǎn)管理框架(第二部分)更側(cè)重于業(yè)務(wù)和企業(yè)風(fēng)險(xiǎn)。

總的來(lái)說(shuō)，在2018年，我們將看到風(fēng)險(xiǎn)管理發(fā)揮更大的效用，包括最近對(duì)高級(jí)防御技術(shù)的描述。

50%的組織增加了對(duì)安全和IT人員的網(wǎng)絡(luò)安全培訓(xùn)工作

這是一個(gè)非常利好的消息。不過(guò)，壞消息是接受調(diào)查的網(wǎng)絡(luò)安全專業(yè)人員中有62%的人認(rèn)為，他們從組織那里獲得的培訓(xùn)水平仍然不足。我們預(yù)計(jì)，網(wǎng)絡(luò)安全培訓(xùn)在2018年將進(jìn)一步增加，但可能仍然達(dá)不到它該有的水平。

49%的組織提高了非技術(shù)員工的網(wǎng)絡(luò)安全培訓(xùn)水平

這可能是一個(gè)很好的投資，但是太多的組織會(huì)通過(guò)網(wǎng)絡(luò)安全培訓(xùn)的提議，并將其視為復(fù)選項(xiàng)。令人遺憾的是，許多企業(yè)仍將繼續(xù)增加培訓(xùn)預(yù)算，但在這一過(guò)程中產(chǎn)生的投資回報(bào)率甚微。我看到一些領(lǐng)先的公司正在通過(guò)以用戶為中心的滲透測(cè)試(比如白帽子釣魚攻擊活動(dòng))，以及使用KnowBe4、PhishMe和Wombat Security的工具來(lái)付出加倍的努力。同時(shí)，我發(fā)現(xiàn)在交流方面也取得了很大的進(jìn)步，像是解釋為什么用戶的操作行為會(huì)被阻止，而不是簡(jiǎn)單地阻止他們，并向他們傳遞加密信息。

此外，持續(xù)教育也是非常重要的，所以我希望CISO和人力資源經(jīng)理能夠有所改進(jìn)，真正實(shí)現(xiàn)質(zhì)的提升，而不是僅僅追求用戶培訓(xùn)量的增加。

48%的組織增加了網(wǎng)絡(luò)安全預(yù)算

ESG即將發(fā)布《2018年IT支出意向研究》報(bào)告，其中的重點(diǎn)研究項(xiàng)目就是網(wǎng)絡(luò)安全預(yù)算。我們發(fā)現(xiàn)，2018年所有行業(yè)中的大多數(shù)組織都將增加其對(duì)網(wǎng)絡(luò)安全方面的預(yù)算。然而，即便有這種增長(zhǎng)，安全團(tuán)隊(duì)還是會(huì)發(fā)現(xiàn)在網(wǎng)絡(luò)安全的所有領(lǐng)域進(jìn)行投資很有挑戰(zhàn)性。在2018年，首席信息安全官將需要制定一個(gè)投資組合管理的方法來(lái)進(jìn)行投資，尋找方法來(lái)使用機(jī)器學(xué)習(xí)技術(shù)、安全運(yùn)營(yíng)自動(dòng)化/編排工具、安全管理服務(wù)和軟件定義安全選項(xiàng)，以解決需求和成本上升等問(wèn)題。

48%的受訪者準(zhǔn)備遵守一項(xiàng)或多項(xiàng)新的監(jiān)管要求

2017年，美國(guó)紐約推出了關(guān)于金融服務(wù)公司的新規(guī)定，而許多全球公司也已經(jīng)做好了執(zhí)行《通用數(shù)據(jù)保護(hù)條例》(GDPR)的準(zhǔn)備。隨著五月份的截止日期的臨近，GDPR將繼續(xù)成為2018年的投資熱點(diǎn)領(lǐng)域，但是我懷疑這種熱度是否將在2018年正式實(shí)施后結(jié)束。

此外，我希望在2018年對(duì)物聯(lián)網(wǎng)設(shè)備的安全性進(jìn)行大量的審查，或許還會(huì)出現(xiàn)一些初步的規(guī)定。毫無(wú)疑問(wèn)，一場(chǎng)大規(guī)模的數(shù)據(jù)泄露或服務(wù)中斷事件一定會(huì)在一夜之間改變立法的態(tài)度。

作為一名美國(guó)公民，我希望華盛頓政府能夠重視從Equifax數(shù)據(jù)泄泄漏和GDPR等方面吸取的經(jīng)驗(yàn)教訓(xùn)，開(kāi)始在本地制定合理的數(shù)據(jù)隱私和網(wǎng)絡(luò)安全法規(guī)。

ESG/ISSA的數(shù)據(jù)表明，過(guò)去的網(wǎng)絡(luò)安全只是一場(chǎng)序幕。讓我們共同期待在接下來(lái)的一年中，首席信息安全官(CISO)不只把心思放在獲取更多的資金上，還能制定出符合自身發(fā)展的2018年網(wǎng)絡(luò)安全規(guī)劃，希望他們能夠評(píng)估需求、流程和資源，并利用不斷增加的預(yù)算來(lái)提高基礎(chǔ)網(wǎng)絡(luò)安全。