网络安全主管难以维护公司安全

Foundry最新出炉的调研报告揭示，人手短缺、预算问题和日益复杂的网络攻击令安全主管头疼不已。

越来越多的公司正在经历数字转型，不断将消费者信息搬上云端，网络安全风险也随之上升，网民、企业和在线买家纷纷开始关注自身网络安全。

日前，Foundry发布《2022年安全重点》调研报告，全球近900位受访安全主管中，90%认为自家企业在抵御网络安全风险方面尚存不足。 

网络安全攻击不算什么新鲜事，但黑客的攻击手段不断推陈出新，而且越来越针对大学、医院、大公司和关键基础设施下手。 

企业如今面对的问题是，这一技术威胁发展太快，网络安全人员难以跟上。结合很多公司网络安全部门人手短缺的事实，不少企业发现自己面对网络攻击束手无策就毫不令人意外了。

Foundry CSO Worldwide高级副总裁兼常务董事Bob Bragdon表示：“人手短缺就无法照顾到每个警报。”

谈及面临人手短缺问题时如何跟上这些安全威胁，45%的IT主管依靠现有员工担负起更多责任；同时，45%采用自动化技术，而42%选择外包自身安全职能。 

接受Foundry调研的安全人员认为，自动化是改善事件响应和留住安全熟手的关键工具。例如，34%的公司指望SOAR（安全编排、自动化与响应）技术，希望借此结合人与机器的力量来处理事件报告。

人为失误

Foundry发现，员工过失仍是IT安全恐慌背后的主要原因：尽管相比2021年调研的44%略有下降，但今年仍有34%的受访者称，非恶意的用户失误是网络安全事件的首要原因。其次是第三方安全漏洞（28%）、未修复的软件漏洞（26%）和软件供应链数据泄露（17%）。

安全主管难以让公司全员或各部门认识到网络安全风险的严重性，招聘并留住合适的安全人员保障公司安全也十分不易。

此外，安全主管报告称，所属企业在技术、人员或预算方面投入不足，导致无法合理抵御安全风险；且应用程序开发过程中往往延后考虑安全。调研还发现，无论哪个层级的员工都缺乏网络安全培训。

至于网络安全资金分配，大型企业这方面支出大约有1.22亿美元，中小企业大概在1600万美元左右，平均年度安全预算则是6500万美元。

展望未来，51%的受访者称，目前计划依靠笔记本电脑、桌面电脑和服务器等端点安全防护措施防止未来安全风险。安全意识培训也在日程表上，46%的受访者都计划在安全意识培训上投入更多。

超过五分之一（22%）的安全主管计划升级其现有技术，包括加强多因素身份验证；21%打算升级数据备份与恢复技术。

同时，32%在研究零信任技术：一种适用于IT系统的方法，应用此方法可使网络不会仅仅因为设备在内部使用就自动信任设备。Foundry发现，相对于去年的13%，今年有超过20%的企业希望实现零信任技术。

Foundry《2022年安全重点》
https://resources.foundryco.com/download/security-priorities-executive-summary