网络安全动态 ·

调查:70%的公司为了更快的业务创新而牺牲安全

调查:70%的公司为了更快的业务创新而牺牲安全 网络安全动态 第1张

安全人员讨厌威胁优先级,IT人员讨厌合规审计,两者都共同讨厌补丁管理。

经过几十年的发展,现如今的IT环境已经变得越来越复杂,不同的机构为了实现某些特定目的,在基础设施之上开发了各种各样的功能和应用,而且这些功能和应用彼此之间往往是割裂的,并随着时间的过去,效率也越来越低。

面对这种现状,近几年来出现了重新整合这些彼此割裂功能的趋势,如面向开发的DevOps,面向网络的NetOps,面向安全的SecOps,甚至还有更细分的DevSecOps,所有这些xOps的目的都是为了通过IT运营更好的整合,以提升速度、敏捷和效率。实际上,大多数的xOps还是很成功的。但xOps的问题在于,其所能达到效率的程度完全取决于这些功能与IT运营的整合是否成功,而且不同的场景面临的问题也不一样。

近期自动化技术公司SaltSatck发布了一系列的xOps状况调查,首当其冲的就是SecOps(SecOps与DevSecOps有所不同,前者是指整体的安全,后者则是指把安全嵌入新应用的开发阶段,避免部署之后再做安全加固)。Gartner曾预测到2020年,有99%的漏洞利用是安全人员和IT人员已经的漏洞。而SecOps的报告则显示,“许多入侵事件都是由于系统配置错误、未打补丁、已知漏洞,数据泄露和入侵的最为普遍的原因。”

这种结果意味着IT团队和安全团队之间缺乏足够的沟通。“只有54%的安全负责人认为可以与IT人员有效沟通,IT人员的比例更低,只有45%。”虽然双方都同意,数据保护工作应该放在创新、市场和成本的前面。可现实情况却是,只有30%的人认为实际工作中也是数据保护优先,却有70%的人表示公司为了更快的创新会牺牲数据安全。原因很复杂,包括来自上层的压力,自我驱动的压力,以及安全与IT团队的冲突等。

“IT人员的工作是实现快速创新并将新的产品推向市场,同时保证基础设施的可靠性。安全人员的任务则是识别安全漏洞和满足合规问题。两者之间存在安全责任共享的裂缝。”

也就是说如果缺乏跨部门的工作流程,两者之间的协同裂缝会被进一步放大。调查结果也支持了这一观点,“当实现了跨部门功能的合作和自动化工具的使用时,认为IT与安全沟通是有效的受访人员四倍于反之。”

解决创新与安全两者之间的关键在于,自动化工具的使用与跨部门的协作,才能形成一个即安全又创新的数字化业务。

报告下载:

https://get.saltstack.com/rs/304-PHQ-615/images/State-of-XOps-Report-Q2-2020-SecOps.pdf

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论