如今，企業(yè)的網(wǎng)絡(luò)安全支出一直在增長(zhǎng)，但是最近的調(diào)查數(shù)據(jù)表明，整體防御措施并沒(méi)有變得更加有效。

[[319290]]

從所有方面來(lái)看，IT行業(yè)似乎都在輸?shù)魧?duì)抗網(wǎng)絡(luò)攻擊的戰(zhàn)爭(zhēng)，但企業(yè)在安全產(chǎn)品上的支出仍在不斷增加。

例如，根據(jù)Marsh公司和微軟公司在去年年底發(fā)布的一份調(diào)查報(bào)告，2019年網(wǎng)絡(luò)安全市場(chǎng)規(guī)模超過(guò)1240億美元。盡管花費(fèi)了這么多支出，但網(wǎng)絡(luò)犯罪在2019年全球各地的組織損失了大約1萬(wàn)億美元。

在被調(diào)查的受訪者中，79%的受訪者將網(wǎng)絡(luò)風(fēng)險(xiǎn)排在前五位，而2017年為62%，但是由于對(duì)網(wǎng)絡(luò)安全措施的信心全面下降。在了解和評(píng)估網(wǎng)絡(luò)威脅方面，有29%的受訪者表示他們對(duì)2017年充滿信心，而在2019年這一比例下降到23%。同時(shí)，對(duì)評(píng)估威脅的能力完全沒(méi)有信心的受訪者數(shù)量翻了一番，從9%增加到18%。

同樣，對(duì)緩解或阻止網(wǎng)絡(luò)攻擊的能力完全沒(méi)有信心的企業(yè)比例從12%上升到19%，而對(duì)響應(yīng)或管理網(wǎng)絡(luò)攻擊的能力沒(méi)有信心的企業(yè)比例從15%上升到22%。

報(bào)告作者說(shuō)：“缺乏信心的部分原因可能是企業(yè)從對(duì)網(wǎng)絡(luò)安全技術(shù)不斷增加的投資中看到的影響相對(duì)較小。”

同時(shí)，鑒于威脅形勢(shì)和合規(guī)性要求不斷提高，大多數(shù)企業(yè)洋會(huì)考慮減少網(wǎng)絡(luò)安全支出。根據(jù)CIO雜志的2020年首席信息官現(xiàn)狀調(diào)查，普通公司現(xiàn)在將其IT預(yù)算的16%用于網(wǎng)絡(luò)安全。Enterprise StrategyGroup上月底發(fā)布的一項(xiàng)調(diào)查報(bào)告表明，62%的企業(yè)計(jì)劃在2020年增加網(wǎng)絡(luò)安全支出，而55%的組織計(jì)劃總體上增 加IT支出。

倫敦網(wǎng)絡(luò)安全商Garrison公司創(chuàng)始人兼首席技術(shù)官Henry Harrison表示，顯然，犯罪分子正在變得越來(lái)越高明。但是問(wèn)題是，防御者為什么不與時(shí)俱進(jìn)呢?網(wǎng)絡(luò)攻擊者變得越來(lái)越聰明，并使用越來(lái)越復(fù)雜的技術(shù)。攻擊面正在不斷擴(kuò)大，其中包括云計(jì)算、物聯(lián)網(wǎng)、人工智能和其他新興技術(shù)。但是在網(wǎng)絡(luò)安全支出方面，許多公司開(kāi)展的工作比較盲目。

Harrison說(shuō)：“人們?cè)诓涣私饩W(wǎng)絡(luò)安全技術(shù)是否有效的情況下，在網(wǎng)絡(luò)安全技術(shù)上花費(fèi)了大量資金。”

部分問(wèn)題可能是，很多企業(yè)在跟蹤網(wǎng)絡(luò)安全支出的投資回報(bào)率方面做得不好。根據(jù)SANS協(xié)會(huì)在今年一月進(jìn)行的一項(xiàng)調(diào)查，只有35%的受訪者表示，根據(jù)投資成本來(lái)衡量他們的安全計(jì)劃的有效性。報(bào)告作者Barbara Filkins表示，這使得負(fù)責(zé)安全事務(wù)的管理人員無(wú)法證明向企業(yè)管理層進(jìn)行必要投資的合理性。

企業(yè)支付的成本物有所值嗎?

在SANS調(diào)查中確實(shí)衡量網(wǎng)絡(luò)安全有效性的那些企業(yè)中，最常見(jiàn)的策略(由59%的受訪者使用)是計(jì)算攻擊面的減少。44%的受訪者關(guān)注合規(guī)性的提高，41%的受訪者關(guān)注了響應(yīng)的速度和準(zhǔn)確性，18%的受訪者關(guān)注了他們是否能夠降低網(wǎng)絡(luò)安全成本。

Tala Security公司首席執(zhí)行官Aanand Krishnan表示：“一些供應(yīng)商正在提供投資回報(bào)率測(cè)量工具，以幫助安全團(tuán)隊(duì)跟蹤其安全工具的性能。但目前可用的工具尚不成熟。”在安全績(jī)效管理方面，他們隱瞞的比披露的要多。””

另一種方法是使用MITRE、NIST、COBIT、CISQ等行業(yè)框架和標(biāo)準(zhǔn)。雖然它們?cè)絹?lái)越復(fù)雜，但這些框架往往是通用的。Krishnan說(shuō)，“首席信息安全官必須花費(fèi)大量時(shí)間來(lái)調(diào)整這些框架，使之與他們的IT狀況相關(guān)。”

最后，有時(shí)看起來(lái)每個(gè)安全供應(yīng)商都承諾要解決存在的所有安全問(wèn)題，很難具體說(shuō)明他們的技術(shù)是做什么的。他說(shuō)，“企業(yè)最終會(huì)出現(xiàn)供應(yīng)商膨脹的問(wèn)題，這將使網(wǎng)絡(luò)安全預(yù)算不斷擴(kuò)大。”

炒作和混淆

漏洞發(fā)生的地點(diǎn)與當(dāng)前熱門的網(wǎng)絡(luò)安全技術(shù)之間也存在不一致的地方。KnowBe4公司數(shù)據(jù)驅(qū)動(dòng)防御傳道者Roger Grimes說(shuō)，缺乏補(bǔ)丁程序和網(wǎng)絡(luò)釣魚(yú)電子郵件是造成大多數(shù)安全事件的原因，但這些問(wèn)題并不是引起所有炒作和關(guān)注的原因。

他說(shuō)：“網(wǎng)絡(luò)安全防御廠商是推銷員。他們被迫在潛在客戶中產(chǎn)生恐懼和恐慌的感覺(jué)，以出售他們的產(chǎn)品。這就是他們?yōu)橹\生而做的事情。”

根據(jù)Valimail公司在12月發(fā)布的一項(xiàng)調(diào)查，有53%的受訪者表示，大多數(shù)或所有網(wǎng)絡(luò)安全供應(yīng)商在推銷產(chǎn)品時(shí)都會(huì)使用不清楚或模棱兩可的數(shù)據(jù)。此外，有42%的人表示網(wǎng)絡(luò)安全產(chǎn)品確實(shí)會(huì)有時(shí)提供價(jià)值，但很難或不可能證明其價(jià)值，而有44%的人表示大多數(shù)或所有供應(yīng)商都對(duì)他們的技術(shù)感到困惑。

Valimail公司首席營(yíng)銷官David Applebaum表示，許多供應(yīng)商都相信客戶會(huì)與他們?cè)谝黄?。他說(shuō)：“對(duì)于大多數(shù)已經(jīng)在特定平臺(tái)上進(jìn)行了標(biāo)準(zhǔn)化的客戶來(lái)說(shuō)，很難切換并再次進(jìn)行所有供應(yīng)商的所有評(píng)估。人們普遍認(rèn)為，它們都不比其他公司要好，因此尋找另一家安全廠商并不一定會(huì)提高滿意度。然后，人們擔(dān)心任何干擾都會(huì)使其容易受到攻擊。”

可能很容易將技術(shù)效率低下歸咎于供應(yīng)商，而對(duì)銷售人員的混淆則歸咎于它們。在許多情況下，他們應(yīng)該受到譴責(zé)。但是，企業(yè)自身也應(yīng)承擔(dān)很多責(zé)任。

例如，根據(jù)ISACA的2020年安全狀態(tài)報(bào)告，良好的企業(yè)風(fēng)險(xiǎn)管理策略的一個(gè)基石是對(duì)可以承受的風(fēng)險(xiǎn)有所了解，但是只有35%的企業(yè)清楚地了解其網(wǎng)絡(luò)風(fēng)險(xiǎn)承受能力和企業(yè)風(fēng)險(xiǎn)。當(dāng)企業(yè)甚至不知道其目標(biāo)是什么時(shí)，很難知道是否已實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)防御目標(biāo)。