企业战略集团(ESG)和信息系统安全协会(ISSA)的一项新研究发现，培训缺乏、网络安全人手不足，以及公司的漠视，是导致安全事件的主要原因。
 

　　最近，ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。该项研究表明，网络安全技能缺乏所能导致的后果，远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。

　　作为该研究项目的一部分，ESG和ISSA想要弄清楚：网络安全人才短缺，究竟是不是各企业连续遭遇安全事件的贡献因素。

　　为此，343位网络安全从业者(大部分是ISSA成员)，被问及自家公司在过去2年中是否经历过安全事件，比如：系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认，他们的公司自2015年来经历了至少1起安全事件。值得注意的是，有34%的受访者回答称“不知道/不想说”，于是，实际经历了安全事件的公司占比，可能会比明确承认的比例高得多。

　　网络安全事件的四种主要因素

　　承认经历过安全事件的受访者，随后被问及事件的贡献因素。数据显示：
 

　　哪些问题是安全事件的主因

　　31%提到非技术员工的培训缺失：

　　这表明，雇员可能会打开恶意附件、点击恶意链接、踩中社会工程骗局陷阱，导致系统破坏和数据泄露。很明显，公司并未设置专人或拨出专款来进行丰富的网络安全培训，于是尝到了偷懒吝啬的苦果。

　　22%称网络安全团队相对于公司规模还不够壮大：

　　已有文章指出，网络安全人才短缺的影响，就包括员工工作量的激增，以及牺牲了计划和策略的短视性应急响应。这次的数据则还暴露出，人才短缺直接导致了更多的安全事件，造成业务中断、公关危机和数据泄露。

　　20%认为业务和行政管理倾向于将网络安全当做低优先级任务：

　　ESG/ISSA研究中贯穿始终的一个话题，是在网络安全方面缺乏恰当的业务监管。公司管理层忽视了他们身上被赋予的网络安全责任。根据本次调查研究的数据，2018年下半年，GDPR开始实施后，预计可以看到几起巨额罚款案。

　　18%称现有网络安全团队跟不上工作量的暴涨：

　　工作量太大，而员工数太少。

　　数据泄露检测、主动威胁捕猎和事件响应，都是人员密集型过程，且依赖的是具备先进技术的人员。于是，网络安全人才短缺会造成深远影响的假设，就很合乎逻辑了。ESG/ISSA研究证明，其间关联度很高，可以说，网络安全职位空缺很多的公司企业，可以预期其网络将遭遇大量恶意攻击。

　　人手不足时应怎样处理网络安全需求

　　我们能做点什么呢?CISO应预设自己人手不足，然后通过下列做好事情来应对网络安全需求：

　　1. 推动先进预防措施

　　CISO应在减小攻击界面上加倍努力，可以采用诸如微分隔、基于身份的访问控制(比如零信任联网)、威胁情报网关和安全DNS服务等技术。

　　2. 自动化过程

　　网络安全人员应评估当前过程，寻找自动化某些过程的方法，比如数据收集、事件生命周期管理，并进行工作流管理。

　　3. 添加智能解决方案

　　所有公司企业都应投资、评估和部署基于人工智能(AI)的安全解决方案。虽然该技术尚在婴儿期，但已能应用来加速威胁检测和减轻安全运营中心(SOC)团队的负担。

　　4. 寻求帮助

　　CISO必须诚实地评估自己是否拥有了足够的人手和技术来跟上安全需求。觉得自己人手不足的，应老实认输，寻求托管服务和SaaS提供商的帮助，弥补这一缺陷。

　　ESG/ISSA报告原文：

　　http://www.esg-global.com/esg-issa-research-report-2017

(责任编辑：宋编辑)