安全漏洞的成本呈上升趋势

普华永道和CSO网站联合进行了一项全球信息安全情况的调查(Global State of Information Security Survey)，其结果显示目前被检测出来的网络安全漏洞在逐年增长，而且安全漏洞的成本也在增加，但企业的安全预算却并没有太多增长。

[[121170]]

从我们以往的全球信息安全调查结果来看，今年的信息安全形势并没有好转，相反今年的信息安全状况是最糟糕的。

支付卡漏洞问题频频出现，并影响到Target和Home Depot等大型公司和上亿的普通消费者。而数据泄露的问题也并没有减少，就在近期全国连锁的三明治店Jimmy John’s发布消息称其数据遭到泄露。当然不仅仅是支付卡受到很大的冲击，医疗行业也出现过严重的数据泄露的问题。医疗服务提供商Community Health Systems表示，今年夏天该公司就丢失了450万个病历。

这一年里，企业首席安全官和安全团队都在努力对抗各种各样的、严重的软件漏洞。例如日前曝光的Shellshock漏洞就引起了很多企业的关注，该漏洞是在广泛应用的GNU项目的Bash shell中发现的。由于很多应用和设备上都在使用Bash，所以Shellshock漏洞的影响要远远超过今年早些时候曝光的Heartbleed漏洞，Heartbleed是在客户和服务器之间的OpenSSL加密数据流量的早期版本中发现的漏洞，而Community Health Systems的泄露事件则是由Heartbleed漏洞引发的。

在这个背景下，普华永道和CSO合作进行了2015年暨第十二个年度全球信息安全情况调查，调查的结果有些是必然发生的，而有些却出乎了人们的意料。如果说这些攻击和致命的漏洞还有好的一面的话，那就是大型企业的高层管理人员可能因此会对企业的网络安全更加重视，并增加对企业IT安全的投入，这一点是毫无疑问的。然而出人意料的是，企业IT安全支出却在以4%的概率逐年递减。

在今年的调查中，受访者表示他们检测到的安全漏洞比去年的更多。参与此次调查的9700多位安全、IT和业务主管发布报告指出，他们检测到的安全事件的数量在今年已经上升到4280万次，增长率为48%。据报告作者指出，过去六年里检测到的安全事件的年复合增长率为66%。

此外，由于安全漏洞的问题频发，导致企业的经济损失也在不断上涨。有意思的是，据相关报告显示，小企业安全漏洞的成本却在下降，比例为37%;中型企业的安全漏洞成本呈小幅增长，比例为25%，而大型企业的安全漏洞成本增长最高，比例为53%。IT安全市场研究公司Securosis 的分析师Mike Rothman表示：“大型企业之所以在数据泄露中遭受的损失最多，是因为大企业中可能会有更多的数据记录，而监管这些数据记录的成本也会更高。”#p#

利用数据分析检测漏洞

虽然企业中一般的安全预算会有所下降，但是企业对安全分析投入的成本却在上涨。约有40%的受访者表示，他们会利用大数据[注]分析作为其安全管理的一部分。而有55%的受访者表示，利用安全数据分析可以帮助他们检测到更多的安全漏洞。

行业分析对于企业来说利益有多大还尚不得而知，但是451研究公司(451 Group)安全分析师Javvad Malik并不认为多数企业的努力会有相应的收获。他说：“数据分析在大多数企业中才刚刚起步，安全信息和事件管理人员每天都能收到成千上万条预警，而企业要重视这些预警。这正好是大数据平台发挥作用的地方，但是现在大多数的企业安全官却并不懂得如何利用大数据平台(+微信关注网络世界)，有时候他们还需要去供应商那里询问如何利用数据分析的工具来帮助他们解决问题。”

Rothman表示：“当人们使用大数据安全分析时，就意味着他们需要从传统的日志管理和查询着手再到Hadoop，然后是云服务。很多企业都在研究如何通过这些方式来提高他们安全分析的效率，但是又有多少企业会从企业的运营角度来着手呢?这样的企业其实并不多。而又有多少企业能够及时发现他们并不知道的安全事件呢?我想这样的企业更少。”

如果安全分析专家的方法正确的话，那么企业的安全分析将有望成功，并会给企业带来更多的好处，但是企业不可能在短期内看到收益，因为这将需要一个长期的过程。事实上，今年随着安全漏洞和威胁不断增长，以及很多著名的、影响很大的泄露事件的发生，企业都希望投入更多的安全成本以确保企业的数据安全。普华永道的调查发现，小企业将其安全成本投资降低了20%，而大、中型企业则稍稍提升了他们的安全成本投入，比例为5%。

这主要是因为随着企业开始启动云计算[注]计划，信息安全预算开始融合了到企业的运营预算中。爱尔兰BH咨询公司Dublin的首席执行官Brian Honan说：“企业的应用和项目中都广泛部署了云计算，这也是其中一个首要原因。这促使了许多大型IT项目并不仅仅归属于IT预算，同时还被归属到了业务预算中。随着全球经济的复苏，企业将在IT上投入更多成本，我们也将看到企业在安全上的投入将比往年更高。”

相关的数据也支持了Honan的这一观点。从调查的数据显示来看，去年企业IT投入资本上升了40%，而信息安全的投入则上升了51%。然而，曝光的数据泄露等安全事件，以及因安全事件引起的经济损失并没有下降，反而呈上升趋势。但是，我们仍然期待明年的情况会有所不同。(王旋编译)