調研400家企業的IT決策者:增加安全預算、採取混合IT環境成首選

  • 2019 年 12 月 20 日
  • 筆記

451 Research調研了400家大型公司的IT決策者,了解他們所處組織面臨的網絡安全現狀、施行的安全計劃,了解企業如何適應新興技術進行數字化轉型。

調查結果反應了一些有趣的事情,也揭示了一些意想不到的矛盾。

例如:在過去12個月,儘管有56%的人所在的組織遭到了重大的網絡攻擊或數據泄露,但高達97%的受訪者認為他們的敏感信息得到了很好的保護,92%的人認為他們的組織有工具和專業知識來保護日益多樣化和不同的基礎設施。

相較於擁有更多資源、人員、工具的同行,中小企業對安全現狀的信心度更高,這種高度的自信,或者說過度自信,並沒有得到風險評估數據的支持,而是源於與過去的企業安全能力和網絡安全態勢的比較。而考慮到惡意攻擊的數量和複雜性的變化、法規要求的增加,新技術的迅速採用以及快速擴展的混合IT生態系統組織的日益複雜性,應對中小企業表達的網絡安全態勢保持懷疑。

企業採取混合IT環境

如今,大多數企業都有安全預算,87%的企業將在明年平均增加安全預算達22%。其中,人員成本佔三分之一以上,並還有上漲的趨勢。用於購買安全工具的資金佔43%,但隨着託管服務和人員成本的日益增加,這一比例呈下降趨勢。

大多數企業(57%)將其主要工作負載環境從本地資源和基礎架構轉移到混合IT環境,以集成方式利用本地系統和本地雲/託管資源。19%的人正在轉向非本地公共雲環境,包括IaaS,PaaS,SaaS。

技能短缺

絕大多數企業至少擁有五名敬業的安全專業人員,當然,更多企業的安全人員數量在5個以上:

但是,儘管大多數企業(87%)表示他們有足夠的信息安全人員來支持他們的企業運作,但他們依然希望在其團隊中增加更專業的安全專家,因為在一些關鍵網絡領域中,企業仍然面臨專業知識或技能的短缺,譬如物聯網安全性、風險分析、威脅檢測和發現等。

infosec信息安全分析師Sherrill指出:對於許多安全團隊來說,最大的技能差距是圍繞公共雲安全專業知識展開的。在雲平台繼續以創紀錄的速度引入新功能和功能的情況下,這種技能差距增加了工作負載被不正確地部署和保護的可能性。數據安全、治理和隱私是大多數企業的頭等要事。

eSentire副總裁兼行業安全策略師Mark Sangster認為,數字化轉型和勞動力的分配不僅分散了資源和資產,而且讓企業在保護資產過程中,出現對自身安全態勢的信心和實際安全能力之間的認知鴻溝,也就是過度自信,而沒有考慮到數據化轉型帶來的工作環境、經濟環境的變化對安全的影響。

最後,深入研究表明,擁有令人滿意的人員配置並不能確保企業具備關鍵的專業知識和能力來檢測整個周邊環境中的威脅,即便發現了威脅也不一定能夠應對。與此同時,網絡攻擊者已經準備好接受數字化轉型,利用企業採用新興技術的時間差,調整程序和成員,以妥善保護其資產。

*參考來源:helpnetsecurity,kirazhou編譯整理,轉載請註明來自 FreeBuf.COM