IDG 的《安全重點研究》顯示，大多數(shù)企業(yè)的安全工作受合規(guī)要求與安全最佳實踐改進任務的驅動。

[[280723]]

安全態(tài)勢永遠在變：更聰明的網(wǎng)絡罪犯、不斷進化的惡意軟件、更嚴格的監(jiān)管和更高的金融與國家安全風險，無不迫使公司企業(yè)及其安全團隊不斷調整安全工作重點。

IDG《2019 安全重點研究》發(fā)布于 2019 年 7 月底，揭示未來一年中安全重點的變化趨勢。該研究基于對全球 528 名安全專業(yè)人士的調查，覆蓋網(wǎng)絡安全開支、匯報結構、技術采納及所有這些背后的驅動因素。

以下便是研究結果摘要。

1. 安全預算上漲

幾乎所有公司都預期來年安全開支會更多或者持平，但未必會用在安全人員認為最需要的地方。新的隱私和安全監(jiān)管是推動安全預算增長的原因之一。2/3 (66%) 的受訪者認為合規(guī)指令是安全開支的驅動因素。但部分受訪者 (27%) 將合規(guī)指令視為對戰(zhàn)略計劃的干擾。

僅 4% 的受訪者預期自身安全預算會減少，50% 預期會增加，46% 預期持平。安全預算的其他決定性因素包括最佳實踐 (73%)、公司內部安全事件響應 (39%)、董事會命令，以及在另一公司或商業(yè)合作伙伴層面響應安全事件 (55%)。

研究報告作者指出，盡管第一美國集團 (First American Corporation) 8.85 億記錄泄露這種重磅事件以往能推動安全開支增長，但今年的研究顯示，此類事件對安全預算的影響在減小。報告中寫道：目前為止，最佳實踐和合規(guī)指令是安全預算最大的推動力。但二者都存在爭議性弱點。專家指出，即使是出自 NIST 和 COBIT 的公認最佳實踐框架也有局限性，公司企業(yè)很難在自身獨特環(huán)境中貫徹其指導思想和獲取最佳效果。

2. 保護敏感數(shù)據(jù)是重中之重

歐盟《通用數(shù)據(jù)保護條例》(GDPR) 已于 2018 年 5 月生效?！都又菹M者隱私法案》(CCPA) 將在 2020 年 1 月 1 日生效。這些法令和其他現(xiàn)有或即將推出的隱私監(jiān)管規(guī)定，將公司企業(yè)的關注重點聚焦到了個人可識別信息 (PII) 保護上。IDG 研究報告中對此也有反映：59% 的受訪者稱隱私信息保護是其首要安全工作重點。

接下來的安全工作重點則將直接有助于保護 PII 和其他資產(chǎn)。安全意識培訓 (44%) 被廣泛認為是減少網(wǎng)絡釣魚和其他社會工程攻擊的有效方式。受訪者的安全工作重點還包括：升級 IT 及數(shù)據(jù)安全以提升彈性 (39%)，提高對外部威脅的理解 (34%)、更好地利用數(shù)據(jù)和分析 (24%)，以及降低 IT 安全基礎設施復雜度 (22%)。

3. 花在員工身上的安全投資比重最大，但沒大多少

數(shù)據(jù)顯示，1/4 的安全開支將花在安全人才身上。這是安全開支占比最高的一項，但工具和技術 (23%)，以及基礎設施和設備 (22%) 緊隨其后，不遑多讓。僅 11% 的安全開支將流向云服務，12% 投入合約服務。

4. 半數(shù)中小企業(yè)缺乏安全高管

88% 的企業(yè)級公司擁有安全高管，但僅 51% 的中小企業(yè) (SMB) 有此配置。多數(shù)安全高管的頭銜是 CISO 或 CSO(大企業(yè) 74%，中小企業(yè) 28%)。

安全高管通常向 CIO 匯報 (31%)。22% 直接向 CEO 匯報，7% 直接向董事會匯報。

5. 零信任熱門，區(qū)塊鏈遇冷

近半數(shù)受訪者稱正積極研究零信任技術，或關注零信任技術。36% 的受訪者稱正在研究區(qū)塊鏈，但 50% 的受訪者對區(qū)塊鏈技術毫無興趣——本項調查研究中所列全部技術里被稱 “沒興趣” 最多的。

2019 IDG 安全重點研究顯示的受熱捧的安全技術

該調查結果顯示出對一些某種意義上的非常規(guī)安全工具和方法的綜合吸收。這些或新或另類的安全工具和方法包括零信任技術、DevSecOps、誘騙技術，以及構筑機器學習及人工智能新興應用基礎的大數(shù)據(jù)分析。

• IDG《2019 安全重點研究》：https://www.idg.com/tools-for-marketers/2019-security-priorities-study/
• IDG《2019 安全重點研究》執(zhí)行摘要：https://images.idgesg.net/assets/2019/10/201920security20priorities20executive20summary_final.pdf

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文