安全事务的预算与计划工作从来都不是有章可循的。你也许可以通过现有的风险项来预测可能出现的安全威胁,但是在网络安全风险领域,唯一不变的就是它的不可预测性。再加上全球性疫情的影响,首席信息安全官们猛然发现,2021年自己该如何去寻找资源,又该如何分配它们?这成为了一大难题。
美国国际数据集团(IDG)2020年11月发布安全优先研究报告。本研究旨在阐明新冠肺炎疫情对安全工作重点的影响,以及2021年计划安全优先事项和费用的决定因素。来自美国、亚太和欧洲的522名安全专家参与了调查,反映了疫情影响下企业评估和应对风险的永久性变化。
从新的角度看风险
疫情开始流行后,网络安全的威胁比以前更大。每个人都开始远程工作,更容易受到网络攻击的侵害。IDG研究发现,过去一年36%的安全事件涉及钓鱼攻击,试图入侵企业数据。
网络威胁制造商知道,员工从办公室转移到自己的家,这是给企业的IT团队和安全管理带来了很大的混乱,使得很难专注于网络安全。调查数据显示,29%的安全事件与未修复的软件漏洞有关,而34%的大型企业安全事件来自或服务的错误配置。但另一方面,如果没有疫情,很难判断这些安全维护漏洞是否会出现。
随着企业的技术创新和安全系统的更新,攻击者也会改变策略,在安全系统中准确找到新的薄弱环节,因此企业需要不断审查其风险评估和应对策略。62%的受访者预计疫情会影响他们应对风险的方式。
绝大多数(87%)受访者认为,他们的企业对网络风险关注不够。更确切地说,31%的人认为他们的风险响应部门没有得到足够的财政支持。30%的人说,在程序开发阶段,安全问题尚未完全解决。大约25%的人认为该公司没有为用户提供足够的安全培训。
调查显示,最常见的风险应对方式是花钱培养更多能够处理安全威胁的人,43%的人选择这种方式。其次,38%的人愿意增加对相应计划的投资,30%的人选择及时更新业务连续性计划。
疫情会增加安全预算吗?答案不确定
有趣的是,虽然人们对如何应对后疫情时代的安全危机深感怀疑,但这并不意味着安全预算会增加。数据显示,41%的受访者预计2021年整体安全预算会上升,但只有33%的人认为是疫情造成的。另一方面,24%的人表示,受疫情影响,其安全预算将低于预期,53%的人认为预算不会有明显变化,甚至6%的人认为预算会下降。
受访者列出了影响他们制定预算计划的几个主要因素。其中,遥遥领先的方案是最佳实践指导和法律法规约束,分别占61%和59%。最佳实践指导更适用于中小企业(70%),合规性更重要(62%)。大企业在员工工资和业务变动方面受疫情影响比中小企业大(47%对42%)。
无论预算是增减,安全事项的最大单项支出都是劳动力,其中员工工资占23%,顾问占8%。此外,大部分支出用于系统、软件和服务,其中19%用于内部基础设施和设备,17%用于内部工具和软件,12%用于云安全服务。
疫情之下脱颖而出的技术
疫情给安全团队带来了许多新的挑战,突出了一些老问题。许多企业开始重新评估其网络安全技术,并加快新技术计划的部署。现在,安全覆盖了极其分散的终端,网络威胁越来越复杂。安全员需要能够更严格地控制访问权限和识别风险的工具,以帮助他们管理安全基础设施系统。IDG研究表明,以下技术正在进行评估或试行。
(1) 零信任
零信任策略确保访问任何地方和设备都能得到更好的控制。疫情前,很多企业已经开始试点零信任计划,有的甚至正式部署。现在,越来越多的公司开始仔细审视零信任计划。根据这项调查,部署或正在尝试零信任计划的企业从2019年的19%增加到28%,而40%的企业表示已经将零信任计划纳入计划或评估具体选项。
(2) 诱骗技术
诱惑技术使入侵者认为他们获得了真实的系统数据,但实际上他们正在访问虚拟网络。这些工具不仅可以报警入侵,还可以分析这些威胁。这为安全团队争取了宝贵的时间,并通过任务自动化大大提高了预防能力。32%的受访者表示,他们正在积极研究诱惑技术。
(3) 认证授权方案
随着远程办公的普及,人们有时需要在非机构的设备上工作,这也对认证授权政策和工具提出了更高的要求。企业正在加快实施基于多元素和员工角色的认证方案,这可能需要升级或更改认证授权系统。32%的受访者表示,这是他们明年的投资方向。
(4) 云服务和评估服务
受疫情影响,许多企业的工作重点发生了变化,需要重新评估网络安全的功能和服务。为了提高效率和节约成本,许多安全服务被外包。23%的受访者表示,他们计划外包云监控和云数据保护服务,包括渗透测试、风险评估和审计。此外,27%和25%的人预计安全部门将增加对访问控制和应用监控的投资。
(5) 疫情对风险情绪的持续影响
研究作者预测,大多数企业可能需要一年时间才能恢复疫情前的安全战略,疫情可能会带来一些积极的变化。他们在报告中写道:“安全领导者应对风险的方式将永久改变。随着新冠肺炎疫情的出现,企业机密和敏感数据的保护得到了加强。员工和合作伙伴都大大提高了网络安全保护意识。”