企業戰略集團(ESG)和信息系統安全協會(ISSA)的一項新研究發現，培訓缺乏、網絡安全人手不足，以及公司的漠視，是導致安全事件的主要原因。

最近，ESG與ISSA協作發布了一份題為《網絡安全人員的生活與時代》的新研究報告。該項研究表明，網絡安全技能缺乏所能導致的后果，遠不止“網絡安全職位數超過具有合適技能和背景的人群數量”這一條明顯結論。

作為該研究項目的一部分，ESG和ISSA想要弄清楚：網絡安全人才短缺，究竟是不是各企業連續遭遇安全事件的貢獻因素。

為此，343位網絡安全從業者（大部分是ISSA成員），被問及自家公司在過去2年中是否經歷過安全事件，比如：系統破壞、惡意軟件感染、DDoS攻擊、正對性攻擊、數據泄露等等。超過半數(53%)的受訪者承認，他們的公司自2015年來經歷了至少1起安全事件。值得注意的是，有34%的受訪者回答稱“不知道/不想說”，于是，實際經歷了安全事件的公司占比，可能會比明確承認的比例高得多。

網絡安全事件的四種主要因素

承認經歷過安全事件的受訪者，隨后被問及事件的貢獻因素。數據顯示：

　　哪些問題是安全事件的主因

31%提到非技術員工的培訓缺失：

這表明，雇員可能會打開惡意附件、點擊惡意鏈接、踩中社會工程騙局陷阱，導致系統破壞和數據泄露。很明顯，公司并未設置專人或撥出?？顏磉M行豐富的網絡安全培訓，于是嘗到了偷懶吝嗇的苦果。

22%稱網絡安全團隊相對于公司規模還不夠壯大：

已有文章指出，網絡安全人才短缺的影響，就包括員工工作量的激增，以及犧牲了計劃和策略的短視性應急響應。這次的數據則還暴露出，人才短缺直接導致了更多的安全事件，造成業務中斷、公關危機和數據泄露。

20%認為業務和行政管理傾向于將網絡安全當做低優先級任務：

ESG/ISSA研究中貫穿始終的一個話題，是在網絡安全方面缺乏恰當的業務監管。公司管理層忽視了他們身上被賦予的網絡安全責任。根據本次調查研究的數據，2018年下半年，GDPR開始實施后，預計可以看到幾起巨額罰款案。

18%稱現有網絡安全團隊跟不上工作量的暴漲：

工作量太大，而員工數太少。

數據泄露檢測、主動威脅捕獵和事件響應，都是人員密集型過程，且依賴的是具備先進技術的人員。于是，網絡安全人才短缺會造成深遠影響的假設，就很合乎邏輯了。ESG/ISSA研究證明，其間關聯度很高，可以說，網絡安全職位空缺很多的公司企業，可以預期其網絡將遭遇大量惡意攻擊。

人手不足時應怎樣處理網絡安全需求

我們能做點什么呢？CISO應預設自己人手不足，然后通過下列做好事情來應對網絡安全需求：

1. 推動先進預防措施

CISO應在減小攻擊界面上加倍努力，可以采用諸如微分隔、基于身份的訪問控制（比如零信任聯網）、威脅情報網關和安全DNS服務等技術。

2. 自動化過程

網絡安全人員應評估當前過程，尋找自動化某些過程的方法，比如數據收集、事件生命周期管理，并進行工作流管理。

3. 添加智能解決方案

所有公司企業都應投資、評估和部署基于人工智能(AI)的安全解決方案。雖然該技術尚在嬰兒期，但已能應用來加速威脅檢測和減輕安全運營中心(SOC)團隊的負擔。

4. 尋求幫助

CISO必須誠實地評估自己是否擁有了足夠的人手和技術來跟上安全需求。覺得自己人手不足的，應老實認輸，尋求托管服務和SaaS提供商的幫助，彌補這一缺陷。

ESG/ISSA報告原文：

http://www.esg-global.com/esg-issa-research-report-2017