企业战略集团(ESG)和信息系统安全协会(ISSA)的一项新研究发现，培训缺乏、网络安全人手不足，以及公司的漠视，是导致安全事件的主要原因。

最近，ESG与ISSA协作发布了一份题为《网络安全人员的生活与时代》的新研究报告。该项研究表明，网络安全技能缺乏所能导致的后果，远不止“网络安全职位数超过具有合适技能和背景的人群数量”这一条明显结论。

作为该研究项目的一部分，ESG和ISSA想要弄清楚：网络安全人才短缺，究竟是不是各企业连续遭遇安全事件的贡献因素。

为此，343位网络安全从业者（大部分是ISSA成员），被问及自家公司在过去2年中是否经历过安全事件，比如：系统破坏、恶意软件感染、DDoS攻击、正对性攻击、数据泄露等等。超过半数(53%)的受访者承认，他们的公司自2015年来经历了至少1起安全事件。值得注意的是，有34%的受访者回答称“不知道/不想说”，于是，实际经历了安全事件的公司占比，可能会比明确承认的比例高得多。

网络安全事件的四种主要因素

承认经历过安全事件的受访者，随后被问及事件的贡献因素。数据显示：

哪些问题是安全事件的主因

• 31%提到非技术员工的培训缺失：

这表明，雇员可能会打开恶意附件、点击恶意链接、踩中社会工程骗局陷阱，导致系统破坏和数据泄露。很明显，公司并未设置专人或拨出专款来进行丰富的网络安全培训，于是尝到了偷懒吝啬的苦果。

• 22%称网络安全团队相对于公司规模还不够壮大：

已有文章指出，网络安全人才短缺的影响，就包括员工工作量的激增，以及牺牲了计划和策略的短视性应急响应。这次的数据则还暴露出，人才短缺直接导致了更多的安全事件，造成业务中断、公关危机和数据泄露。

• 20%认为业务和行政管理倾向于将网络安全当做低优先级任务：

ESG/ISSA研究中贯穿始终的一个话题，是在网络安全方面缺乏恰当的业务监管。公司管理层忽视了他们身上被赋予的网络安全责任。根据本次调查研究的数据，2018年下半年，GDPR开始实施后，预计可以看到几起巨额罚款案。

• 18%称现有网络安全团队跟不上工作量的暴涨：

工作量太大，而员工数太少。

数据泄露检测、主动威胁捕猎和事件响应，都是人员密集型过程，且依赖的是具备先进技术的人员。于是，网络安全人才短缺会造成深远影响的假设，就很合乎逻辑了。ESG/ISSA研究证明，其间关联度很高，可以说，网络安全职位空缺很多的公司企业，可以预期其网络将遭遇大量恶意攻击。

人手不足时应怎样处理网络安全需求

我们能做点什么呢？CISO应预设自己人手不足，然后通过下列做好事情来应对网络安全需求：

1. 推动先进预防措施

CISO应在减小攻击界面上加倍努力，可以采用诸如微分隔、基于身份的访问控制（比如零信任联网）、威胁情报网关和安全DNS服务等技术。

2. 自动化过程

网络安全人员应评估当前过程，寻找自动化某些过程的方法，比如数据收集、事件生命周期管理，并进行工作流管理。

3. 添加智能解决方案

所有公司企业都应投资、评估和部署基于人工智能(AI)的安全解决方案。虽然该技术尚在婴儿期，但已能应用来加速威胁检测和减轻安全运营中心(SOC)团队的负担。

4. 寻求帮助

CISO必须诚实地评估自己是否拥有了足够的人手和技术来跟上安全需求。觉得自己人手不足的，应老实认输，寻求托管服务和SaaS提供商的帮助，弥补这一缺陷。

ESG/ISSA报告原文：

http://www.esg-global.com/esg-issa-research-report-2017