IDG的《安全重点研究》表明,大多数组织的安全工作都是由合规性要求和改进安全最佳实践的任务驱动的。安全形势永远在变化:更聪明的网络犯罪分子、不断发展的恶意软件、更严格的法规以及更高的金融和国家安全风险都在迫使组织及其安全团队不断重新调整其安全工作的重点。IDG《2019 安全重点研究》于2019年7月底发布,揭示了来年安全优先事项将如何变化。基于对全球528名安全专业人员的调查,该研究涵盖了网络安全支出、报告结构、技术采用及其背后的驱动因素。以下是调查结果的摘要。1.安全预算增加几乎所有公司都预计来年安全支出会增加或保持不变,但可能不会花在安全人员认为最需要的地方。新的隐私和安全法规是推动安全预算增长的原因之一。三分之二(66%)的受访者将合规性指令列为安全支出的驱动因素。但一些受访者(27%)认为合规性授权会分散对战略计划的注意力。只有4%的受访者预计他们的安全预算会减少,50%预计会增加,46%预计会保持不变。安全预算的其他决定因素包括最佳实践(73%)、公司内部安全事件响应(39%)、董事会命令以及在另一家公司或业务合作伙伴级别响应安全事件(55%)。研究作者指出,虽然像第一美国公司8.85亿条记录泄露这样的重磅事件在历史上增加了安全支出,但今年的研究表明,此类事件对安全预算的影响正在减弱。“最佳实践和合规性要求是迄今为止安全预算的最大驱动力,”报告中写道。但两者都有有争议的弱点。专家指出,即使是公认的来自NIST和COBIT的最佳实践框架也有局限性,使组织难以实施其指南并在其自身独特的环境中取得最佳结果。2.保护敏感数据是重中之重欧盟?(GDPR)于2018年5月生效。《加州消费者隐私法案》(CCPA)将于2020年1月1日生效。这些法规以及其他现有或即将出台的隐私法规,已将企业注意力集中在个人身份信息(PII)的保护上。这一点也反映在IDG的研究报告中:59%的受访者表示,保护私人信息是他们在安全方面的首要任务。下一个安全重点将直接帮助保护PII和其他资产。安全意识培训(44%)被广泛认为是减少网络钓鱼和其他社会工程攻击的有效方法。受访者的安全优先事项还包括:升级IT和数据安全以提高弹性(39%)、提高对外部威胁的理解(34%)、更好地利用数据和分析(24%)以及降低IT安全基础设施的复杂性(22%)。3.安全投资中最大比例花在员工身上,但没有太多数据表明1/4的安全支出会花在安全人员身上。这是最高的安全支出类别,但工具和技术(23%)以及基础设施和设备(22%)紧随其后。只有11%的安全支出将用于云服务,12%用于合同服务。4.一半的中小企业缺乏安全主管88%的企业级公司有安全主管,但只有51%的中小型企业(SMB)有。大多数安全主管拥有CISO或CSO的头衔(74%的大型企业,28%的SMB)。安全主管通常向CIO(31%)报告。22%直接向首席执行官报告,7%直接向董事会报告。5.零信任火爆,区块链遇冷近半数受访者表示正在积极研究零信任技术,或关注零信任技术。36%的受访者表示他们正在研究区块链,但50%的受访者对区块链技术不感兴趣——在本次调查研究中列出的所有技术中,“不感兴趣”的人数最多。2019年IDG安全焦点研究揭示的顶级安全技术调查结果显示,人们普遍采用了一些非常规的安全工具和方法。这些新的或替代的安全工具和方法包括零信任技术、DevSecOps、欺骗技术和大数据分析,它们构成了机器学习和人工智能新兴应用的基础。IDG《2019 安全重点研究》:https://www.idg.com/tools-for-marketers/2019-security-priorities-study/IDG《2019 安全重点研究》执行摘要:https://images.idgesg.net/assets/2019/10/201920security20priorities20executive20summary_final.pdf【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信公众号id:gooann-sectv)】点此阅读作者更多好文
