调研400家企业的IT决策者：增加安全预算、采取混合IT环境成首选

• 2019 年 12 月 20 日
• 笔记

451 Research调研了400家大型公司的IT决策者，了解他们所处组织面临的网络安全现状、施行的安全计划，了解企业如何适应新兴技术进行数字化转型。

调查结果反应了一些有趣的事情，也揭示了一些意想不到的矛盾。

例如：在过去12个月，尽管有56%的人所在的组织遭到了重大的网络攻击或数据泄露，但高达97%的受访者认为他们的敏感信息得到了很好的保护，92%的人认为他们的组织有工具和专业知识来保护日益多样化和不同的基础设施。

相较于拥有更多资源、人员、工具的同行，中小企业对安全现状的信心度更高，这种高度的自信，或者说过度自信，并没有得到风险评估数据的支持，而是源于与过去的企业安全能力和网络安全态势的比较。而考虑到恶意攻击的数量和复杂性的变化、法规要求的增加，新技术的迅速采用以及快速扩展的混合IT生态系统组织的日益复杂性，应对中小企业表达的网络安全态势保持怀疑。

企业采取混合IT环境

如今，大多数企业都有安全预算，87%的企业将在明年平均增加安全预算达22%。其中，人员成本占三分之一以上，并还有上涨的趋势。用于购买安全工具的资金占43%，但随着托管服务和人员成本的日益增加，这一比例呈下降趋势。

大多数企业（57％）将其主要工作负载环境从本地资源和基础架构转移到混合IT环境，以集成方式利用本地系统和本地云/托管资源。19％的人正在转向非本地公共云环境，包括IaaS，PaaS，SaaS。

技能短缺

绝大多数企业至少拥有五名敬业的安全专业人员，当然，更多企业的安全人员数量在5个以上：

但是，尽管大多数企业（87％）表示他们有足够的信息安全人员来支持他们的企业运作，但他们依然希望在其团队中增加更专业的安全专家，因为在一些关键网络领域中，企业仍然面临专业知识或技能的短缺，譬如物联网安全性、风险分析、威胁检测和发现等。

infosec信息安全分析师Sherrill指出：对于许多安全团队来说，最大的技能差距是围绕公共云安全专业知识展开的。在云平台继续以创纪录的速度引入新功能和功能的情况下，这种技能差距增加了工作负载被不正确地部署和保护的可能性。数据安全、治理和隐私是大多数企业的头等要事。

eSentire副总裁兼行业安全策略师Mark Sangster认为，数字化转型和劳动力的分配不仅分散了资源和资产，而且让企业在保护资产过程中，出现对自身安全态势的信心和实际安全能力之间的认知鸿沟，也就是过度自信，而没有考虑到数据化转型带来的工作环境、经济环境的变化对安全的影响。

最后，深入研究表明，拥有令人满意的人员配置并不能确保企业具备关键的专业知识和能力来检测整个周边环境中的威胁，即便发现了威胁也不一定能够应对。与此同时，网络攻击者已经准备好接受数字化转型，利用企业采用新兴技术的时间差，调整程序和成员，以妥善保护其资产。

*参考来源：helpnetsecurity，kirazhou编译整理，转载请注明来自 FreeBuf.COM