调查︱网络安全人才短缺是安全事件的根源
作者:星期二, 十一月 28, 20170

企业战略集团(ESG)信息系统安全协会(ISSA)的一项新研究发现,培训缺乏、网络安全人手不足,以及公司的漠视,是导致安全事件的主要原因。

最近,ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。该项研究表明,网络安全技能缺乏所能导致的后果,远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。

作为该研究项目的一部分,ESG和ISSA想要弄清楚:网络安全人才短缺,究竟是不是各企业连续遭遇安全事件的贡献因素。

为此,343位网络安全从业者(大部分是ISSA成员),被问及自家公司在过去2年中是否经历过安全事件,比如:系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认,他们的公司自2015年来经历了至少1起安全事件。值得注意的是,有34%的受访者回答称“不知道/不想说”,于是,实际经历了安全事件的公司占比,可能会比明确承认的比例高得多。

网络安全事件的四种主要因素

承认经历过安全事件的受访者,随后被问及事件的贡献因素。数据显示:

哪些问题是安全事件的主因

  • 31%提到非技术员工的培训缺失:

这表明,雇员可能会打开恶意附件、点击恶意链接、踩中社会工程骗局陷阱,导致系统破坏和数据泄露。很明显,公司并未设置专人或拨出专款来进行丰富的网络安全培训,于是尝到了偷懒吝啬的苦果。

  • 22%称网络安全团队相对于公司规模还不够壮大

已有文章指出,网络安全人才短缺的影响,就包括员工工作量的激增,以及牺牲了计划和策略的短视性应急响应。这次的数据则还暴露出,人才短缺直接导致了更多的安全事件,造成业务中断、公关危机和数据泄露。

  • 20%认为业务和行政管理倾向于将网络安全当做低优先级任务:

ESG/ISSA研究中贯穿始终的一个话题,是在网络安全方面缺乏恰当的业务监管。公司管理层忽视了他们身上被赋予的网络安全责任。根据本次调查研究的数据,2018年下半年,GDPR开始实施后,预计可以看到几起巨额罚款案。

  • 18%称现有网络安全团队跟不上工作量的暴涨:

工作量太大,而员工数太少。

数据泄露检测、主动威胁捕猎和事件响应,都是人员密集型过程,且依赖的是具备先进技术的人员。于是,网络安全人才短缺会造成深远影响的假设,就很合乎逻辑了。ESG/ISSA研究证明,其间关联度很高,可以说,网络安全职位空缺很多的公司企业,可以预期其网络将遭遇大量恶意攻击。

人手不足时应怎样处理网络安全需求

我们能做点什么呢?CISO应预设自己人手不足,然后通过下列做好事情来应对网络安全需求:

1. 推动先进预防措施

CISO应在减小攻击界面上加倍努力,可以采用诸如微分隔、基于身份的访问控制(比如零信任联网)、威胁情报网关和安全DNS服务等技术。

2. 自动化过程

网络安全人员应评估当前过程,寻找自动化某些过程的方法,比如数据收集、事件生命周期管理,并进行工作流管理。

3. 添加智能解决方案

所有公司企业都应投资、评估和部署基于人工智能(AI)的安全解决方案。虽然该技术尚在婴儿期,但已能应用来加速威胁检测和减轻安全运营中心(SOC)团队的负担。

4. 寻求帮助

CISO必须诚实地评估自己是否拥有了足够的人手和技术来跟上安全需求。觉得自己人手不足的,应老实认输,寻求托管服务和SaaS提供商的帮助,弥补这一缺陷。

ESG/ISSA报告原文:

http://www.esg-global.com/esg-issa-research-report-2017

 


相关文章

写一条评论

 

 

0条评论