今天企业网络安全支出一直在增长,但最近的调查数据表明整体防御并没有变得更加有效。从各方面来看,IT行业似乎正在输掉与网络攻击的战斗,但企业继续在安全产品上投入更多资金。例如,根据达信公司和微软公司去年年底发布的调查报告显示,2019年网络安全市场规模超过1240亿美元。尽管支出如此之多,网络犯罪在2019年仍给全球组织造成了约1万亿美元的损失。在接受调查的人中,79%的人将网络风险列为前五名,而2017年这一比例为62%,但这是由于对网络安全的整体信心下降网络安全措施。在了解和评估网络威胁方面,2017年有29%的受访者表示有信心,2019年这一数字下降到23%。与此同时,对自己的评估能力完全没有信心的受访者数量威胁翻了一番,从9%增加到18%。同样,对自己减轻或预防网络攻击的能力完全没有信心的企业比例从12%上升到19%,而对其响应或管理网络攻击的能力没有信心的企业比例从15%上升到22%。“缺乏信心的部分原因可能是企业对网络安全技术不断增长的投资所产生的影响相对较小,”该报告的作者说。同时,鉴于威胁形势和合规性要求不断上升,大多数企业将考虑减少网络安全支出。根据CIOMagazine的2020年CIO状况调查,现在平均每家公司将其IT预算的16%用于网络安全。根据EnterpriseStrategyGroup上月底发布的一份调查报告,62%的企业计划在2020年增加网络安全支出,而55%的组织计划总体上增加IT支出。总部位于伦敦的网络安全公司Garrison的创始人兼首席技术官亨利·哈里森(HenryHarrison)表示,很明显,犯罪分子正变得越来越狡猾。但问题是,为什么防守者不与时俱进?网络攻击者变得越来越聪明,使用的技术也越来越复杂。攻击面正在扩大,包括云计算、物联网、人工智能和其他新兴技术。但在网络安全支出方面,许多公司都在盲目工作。“人们在网络安全技术上花费了大量资金,却不知道它是否有效,”哈里森说。部分问题可能是许多企业没有很好地跟踪网络安全支出的投资回报率。根据SANSInstitute在今年1月进行的一项调查,只有35%的受访者表示他们根据投资成本来衡量其安全计划的有效性。报告作者芭芭拉菲尔金斯说,这让负责安全事务的经理们无法证明对企业管理进行必要投资的理由。企业是否物有所值?在SANS调查中确实衡量网络安全有效性的策略中,最常见的策略(59%的受访者使用)是计算攻击面减少。44%的受访者关注提高合规性,41%关注响应速度和准确性,18%关注能否降低网络安全成本。“一些供应商正在提供ROI测量工具,以帮助安全团队跟踪其安全工具的性能,”TalaSecurity首席执行官AanandKrishnan说。“但今天可用的工具还不成熟。”在安全性能管理方面,隐藏的比显示的多。”“另一种方法是使用行业框架和标准,如MITRE、NIST、COBIT、CISQ等。尽管它们越来越复杂,但这些框架往往是通用的。“CISO必须花费大量时间来调整这些框架,以使其与他们的IT环境相关,”Krishnan说。最后,有时看起来每个安全供应商都致力于解决存在的每个安全问题,而且很难具体说明他们的技术做了什么。“企业最终将面临供应商膨胀,这将使网络安全预算不断膨胀,”他说。关于漏洞发生位置的炒作和混淆与当前热门的网络安全技术之间也存在不一致。KnowBe4数据驱动防御的布道者RogerGrimes表示,缺乏补丁和网络钓鱼电子邮件是大多数安全事件的原因,但这些问题并不是所有炒作和关注的原因。“网络安全防御供应商是推销员。他们被迫在潜在客户中制造恐惧和恐慌感,以便销售他们的产品。这就是他们谋生的方式,”他说,根据Valimail去年12月发布的消息。根据一项调查显示,53%的受访者表示,大多数或所有网络安全供应商在营销其产品时都使用不明确或模棱两可的数据。此外,42%的人表示网络安全产品有时确实提供价值,但很难或不可能证明价值,而44%的人表示大多数或所有供应商都对其技术感到困惑。Valimail的首席营销官大卫·阿普尔鲍姆(DavidApplebaum)表示,许多供应商相信客户会留在他们身边。“对于大多数已经在特定平台上进行了标准化的客户来说,很难切换并再次对所有供应商进行所有评估,”他说。“人们普遍认为,它们之间没有一个比另一个更好,所以要寻找另一家安全供应商。”它不一定会增加满意度。然后人们担心任何破坏都会让它变得脆弱。”人们可能很容易将技术效率低下和销售人员的困惑归咎于供应商。在许多情况下,他们是应该受到谴责的。但是,企业自身也负有很大的责任。例如,根据ISACA的2020年安全状况报告,良好的企业风险管理战略的基石是了解可接受的风险,但只有35%的组织清楚地了解其网络风险承受能力和企业风险。当您甚至不知道您的目标是什么时,很难知道您是否实现了网络风险防御目标。
