自互联网时代开始以来,安全二字就被常挂嘴边。大数据的兴起更是让数据安全摆在最为优先的发展位置。可是即便如此,数据泄露事故依旧接二连三的发生,目前看甚至有让IT人员对安全信心崩溃的可能。
上周,总部位于波士顿的安全企业Barkly对部分专业IT人员作出了调查。结果显示,有接近一半的被调查者认为他们的安全措施并没有保护其数据安全的能力。而50%这个数字也远远超过了最初的调查期望。
美国安全企业Barkly
Barkly的CTO Jack Danahy对外表示,“这些组织机构都知道要为了安全做哪些事情,但是他们的期望却很低。但这是一个惊喜,因为他们都知道自己所做的远远不够,因而会加强对安全的投入。”
低投资回报率
在调查中,当被问及企业在安全方面的投资回报率时,350名受访的专业人士中有54%的人士不认为这笔投资能有任何回报。
数据安全事故频发
Danahy对此解释道:“这一点其实也并不出乎意料,因为安全是个很难解释的领域。他不能采用像其他业务领域一样的方式衡量。因为安全要做的是预防和不要发生什么,这就使得他很难获取量化的回报,却要不断的进行投资。”
换种思维来讲,如果创造一个线性方程,那么我的投入和保护程度是可见的,但是人们却很难发现这一投入是否足够安全,如果不够投入多少,预算多少才算合适。安全是发展的,投入产出比却不是可见的,这也是人们对其没信心的原因。
安全解决方案不能只是单纯砸钱
而与此同时,人们在接受一个安全解决方案时,往往会选择所能承诺更多的提供商所提出的解决方案。但是全球并非只有一家解决方案提供商,而在不同提供商之间竞争时,他们所提供的承诺往往是超标的。
这并非说他们无法做到,只不过可能会比原来需要更多的预算,而这却是后期安全解决方案建设的过程中常遇到的问题。公司更愿意为产品开发和市场销售等可以很快看到收效方的面予以支持,但安全技术开发却是很难看出成果的。
部分公司是这样不愿意花钱,那么愿意花钱就可以安全了吗?也不一定。公司愿意为安全买单,为了一个项目可能会有50家安全公司竞争,互相提出自己的解决方案,那么公司会选哪个呢?名气最大的。
互联网行业炒作一样不能低估
因为很多时候公司会认为名气大,或者有过一定实绩的安全公司会比较可靠。可是这样的安全公司名气是如何而来的呢?很大部分靠的是炒作。炒作是市场中不可避免的一部分,安全公司也是如此。
一个擅长炒作的公司与优质的安全解决方案提供商并不能划等号。而对于需求方,由于对安全方面的了解相对较少,而在安全解决方案实施过程中,只能选择一些看似效果良好,实质却是炒作良好的解决方案。
往往增加终端安全保护
这样的结果有两种,安全厂商搭建了超规模的安全防御体系,公司很满意,但是要付出的代价将会是源源不断的无底洞。另一种,安全解决方案并不能奏效,于是需要继续砸更多钱进去解决问题。
无论哪个结果,都是要花更多的钱。但是无限的花钱却看不见成效,这对公司来讲是非常常见的现象。但是没有出问题的时候是否是安全解决方案的奏效无法得知,出了问题确实很容易看到的。
不砸钱的时候会出安全问题,于是公司选择砸钱,砸了钱以后选错解决方案还是会出问题,需要继续砸钱,继续砸钱选对了解决方案,攻击手段却升级了,为了安全还要砸钱,这对于公司来讲是莫大的悲哀。
安全解决方案并非万能
当安全解决方案的投入不断增加,却始终看不到终点时,安全问题却并没有因此而减轻太多,人们的信心很容易随此崩塌。
IT专业人员信心的缺乏也表明了一个问题,他们对安全解决方案的认知正在逐步清晰,同时他们也在反思,他们的投资和技术始终落后于环境威胁的变化速度。
也就是说,网络安全环境的问题主要在于变化太快。而安全专家的建议是切忌盲目建设安全解决方案,应当更加针对当今网络安全形势的变化以及其复杂性,增加安全基础设施。
人工智能依然可以大展身手
这只是基础,对于未来的网络环境,仅仅依靠现在的被动防守是很难见效的无底洞,把人工智能引入,更多的站在网络威胁的角度,寻求自动化的主动保护升级,采用更多的自动化安全解决方案或许将成为未来的主流。
Barkly在报告的最后总结道,引入可以自动保护的技术,而不是单纯的应对现阶段看不到的网络攻击。这样不仅仅可以提高IT专业人员的信心水平,也可以保障公司生产力,降低盲目投入避免浪费资本。
文章来源:机房专用半岛(中国) http://www.cg-afg.com