鑒于如今不斷進化的威脅態勢，公司企業希望采取積極主動的威脅應對方式，創建持續合規的環境，擁有響應良好的IT運營過程，是無可厚非的。誰不想減小風險暴露面和攻擊界面？誰不想能檢測并響應高級威脅？誰不想降低安全運營開銷？

現實卻是：各種各樣的壓力阻礙著公司企業實現這些目標，而且這些壓力還不會很快消失。多家商業及公共機構的安全實踐負責人和高管，就最優化安全及合規項目，綜合出了5條必須應對的挑戰。

挑戰 #1：數據泄露那為人所知的影響

看起來無窮無盡不斷登上新聞頭條的數據泄露事件，讓公司企業，包括高管和董事管理層，都意識到了安全的重要性，也感受到了可能成為下一個受害者的恐懼。

去年，《Tripwire》調查中82%的受訪者認為自家公司會遭遇數據泄露。ISACA和RSA的聯合調查也表明，78%的董事會如今對計算機安全十分在意。

這種高度關注，部分是由于計算機犯罪造成的損失。據美國戰略與國際問題研究中心估計，計算機犯罪每年造成的損失高達4450億美元。很不幸，隨著公司企業處理和存儲更多的信息，隨著網絡犯罪愈加流行且影響越來越大，這個數字也會水漲船高。

網絡犯罪在頻度、影響和復雜性上持續升級，公司企業無論規模和產業，均受其威脅。一起數據泄露或網絡入侵事件，就可以致使公司企業損失客戶、利潤和信譽，遭遇運營持續性的傷害和數據完整性質疑。對某些公司而言，這些損失的程度可以從慘痛到完全不可恢復。

挑戰 #2：技術缺口

引發數據泄露損失上升的驅動因素之一，就是持續升溫的信息安全技術缺口問題。

上文提及的ISACA/RSA調查中，52.44%的受訪者覺得自家公司員工中只有不到1/4是稱職的。這些受訪者同時指出，安全實踐者理解業務的能力是最大的技術缺口。

該問題給公司企業帶來了很嚴重的風險。如果安全實踐者不能完全理解他們業務的本質，安全和業務負責人就無法看清每個資產在支持公司使命方面所起的作用。這意味著他們領會不到保護每個資產的相關業務重要性，而這將會影響到他們減少威脅緩解風險的能力。

而且，盡管業務純熟的專業人士如今或許炙手可熱，也掩蓋不了信息安全從業者人數不足這個簡單而殘酷的事實。2014年的一項調查估測，全球安全專業人士崗位需求425萬個，但只有225萬名從業者活躍在這一領域。

技術缺口還給公司企業帶來了雙重風險。不僅僅是信息安全從業者短缺，有經驗的管理人才更是稀缺。只要還想撐住自己的數據安全，公司企業必須直面招聘和技術缺口的挑戰。

挑戰 #3：終端爆炸式增長

很久以前，網絡設計者仔細思考過以太網連上烤箱的前景。在當時，這只能是個笑談，但如今，技術已經證明或者即將表明，所有事物都可以通過網絡來連接、訪問、提供服務，或者加以控制。聯網設備及資產的大爆炸，引入了增量擴張問題，讓大多數早期安全和合規模型及預測難堪重任。當前比以往任何時候都需要有經驗的安全人士來護衛現代IT環境中五花八門的大量終端設備，而且未來這些設備還會只多不少。

這與1992年IT從業人士可以用殺毒軟件抵御大多數數字威脅的情況不是一個級別的。但根據思科的報告，如今大約有229億臺終端運行在企業網絡中，到2020年該數字還會翻個倍。要保護如此之多的設備，安全運營開銷和公司企業確保每臺設備合乎行業標準的投入，自然也會隨之直線上升。

挑戰 #4：數字-物理融合

終端數量在所有經濟領域增殖，包括金融服務、零售、飲食、工業、電力、油/氣、汽車、運輸和公用事業公司。這些公司有責任維護關鍵國家基礎設施，比如運輸系統、電站和電力輸送系統、耐用消費品，以及食品生產、加工和配送設施。也就是說，對他們終端的任何威脅，都有可能摧毀經濟或造成破壞，包括對市民的物理傷害。

如果一家工業公司意識到工業控制系統(ICS)中存在漏洞，他們將會應用對策，進行硬件修復，確保在進行進一步動作前沒有軟件沖突。這是因為ICS里的硬件問題是十分重大的，會在高度優化和有限容錯的生產體系中造成斷電、減少工業輸出和其他不良下游效應。

同時，企業還極關注隱私，有一套規則限制非特權用戶訪問信息。他們的信息安全項目大多用在了防范數據泄露的信息保密性上。

IT和OT曾經是分離的，但在物聯網(IoT)和工業物聯網(IIoT)背景下，我們開始見證企業和工業團隊共同合作，無縫銜接服務的融合景象。我們有充分的理由認定，這倆在關鍵基礎設施防護上也應結成良好同盟。

展望未來，為鍛造建設性伙伴關系，在平衡優先級和探索安全利用方式的時候，公司企業需要將IT、IoT/IIoT中的所有系統和終端納入考慮。

挑戰 #5：飛速發展的安全和技術

如數字-物理融合所揭示的，威脅并不是均勻分布的。各家公司之間安全的形式和維度都不相同。這意味著“安全工具箱”式的解決方案或許是應對的一部分，但絕不是保持系統和數據安全的完整答案。

安全必須進化才能應對當今復雜的威脅態勢。去年、前年的解決方案，需要相對于其當前的價值主張進行重新評估。其中一些技術和廠商伙伴關系會持續推進到未來，并有價值主張上的改善。其他則不會那么好運，若想繼續生存下去提供價值，就需要作出極大的改變和適應。在提供商領域，我們目前正在見證滄海桑田般的轉變：領域內老牌提供商已喪失了領頭羊地位，新提供商頂替了他們的位置。無論如何，解決方案需要適應企業當前和未來的需要。總的來說，安全解決方案需要讓公司企業更方便地相互共享威脅情報。

當然，這些改變會讓公司企業難以在安全方面進行投入。畢竟，引導所有這些各不相同的數據包和配置選項，是件令人頭疼的事。

因此，公司企業需要理清自身在安全上的具體需求，要識別出最需要保護的關鍵資產，找出搞定安全需求所必需的技術、人手和其他資源。

一個重要，或者說必不可少的基準點，是安全框架。大多數公司企業都需要采納一個，就像所有商業和公共機構都遵守標準財務報告框架和協議一樣。NIST、Gartner的PPDR、CIAS、ISO27001之類的公開安全框架都有效。框架一旦選定，根據公司及其所屬商業生態系統的具體需求進行校準和調整便是必不可少的。所選框架的采納應用，需要良好的計劃、強力的投入(或許還有資金的重分配)、靠得住的合作伙伴、執行，以及時間。

結論

或許各人想法有異，但這5個挑戰不會很快消失。公司企業需要將這些因素納入考慮，拿出一個向前看的方案。他們需要準備好管理和緩解不斷升級的安全，順應這些趨勢帶來的運行風險。這一過程應該包括：

按基于風險的定位，準確評估公司IT、IoT/IIoT相關需求；

采納并應用合適的基于標準的框架；

創建或調整自身安全及合規架構；

選擇戰略供應商/合作伙伴，他們的技術能力、戰略愿景和商業活力要能支持你的架構，核心能力要能解決這些趨勢帶給公司的挑戰；

根據業務風險優先級發展和階段性實現及部署安全合規計劃；

實現或擴展持續性監測、響應及校驗項目。

最后，有鑒于這些趨勢，每家公司企業都需要擴展對于手頭任務規模和復雜性的認知。這一認知會拓寬安全項目的范圍，使之容納進整體環境及用以緩解所面臨風險的長期計劃。

采取務實的積極的方法態度對待網絡安全和合規，是當前重中之重。