安全廠商的炒作使企業(yè)購入二流安全技術(shù)
責編:admin |2014-07-23 13:39:45一項新的問卷調(diào)查發(fā)現(xiàn),安全廠商炒作安全威脅以使得用戶對其安全平臺產(chǎn)生興趣的做法,最終可能會長久地損害自己的聲譽,夸大的做法也可能會令企業(yè)作出令人失望的科技投資。調(diào)查報告指,一味的浮夸可能會令客戶購入一些令人失望的技術(shù)。
Ponemon研究所在調(diào)查了15個國家里4,881名IT及IT安全從業(yè)人員后發(fā)現(xiàn),一些廠商往往夸大企業(yè)面臨的各類威脅的嚴重性,目的是想讓企業(yè)覺得如果他們不購買新的安全保護技術(shù)則會面臨大風險。百分之五十八的受訪者認為,安全解決方案供應商在炒作企業(yè)面臨的威脅和風險。他們表示,炒作可能有助于公司騰出預算資金用于投資新技術(shù),但幾乎一半(47%)的受訪者認為,他們公司經(jīng)常、或十分經(jīng)常買進一些令人失望的安全解決方案。
根據(jù)Ponemon的這項研究,對企業(yè)部門更有益的做法是系統(tǒng)地評估供應商的技術(shù)。僅僅因為對風險的擔憂而買入技術(shù)的做法會導致企業(yè)部門在進行風險評估時不夠周到,在估算管理新系統(tǒng)所需要的附加人員時也會出錯。即便是在不購入新技術(shù)的前提下,那些新出現(xiàn)的威脅的潛在風險也是可以大大降低的。
該項研究報告給出的做法是,針對完整的殺傷鏈模型評估安全解決方案的能力和部署,以消除不足的地方和盡量減少過多的重疊;對在“惡意軟件交付階段”確認的攻擊進行防御,但不能完全依賴此類防御,還需要對此類防御做進一步擴展。
調(diào)查結(jié)果顯示,受訪者最為擔心是用于竊取數(shù)據(jù)的高級持續(xù)性威脅和攻擊。網(wǎng)站遭黑客破解、目的是關閉關鍵業(yè)務系統(tǒng)的分布式拒絕服務攻擊及數(shù)據(jù)外泄等也是受訪者擔心的首要問題。
該調(diào)查報告的題目為“全球網(wǎng)絡安全啟示錄”,報告分為兩大部分,研究是由安全廠商Websense贊助的。Ponemon的研究發(fā)現(xiàn),購買安全技術(shù)的決策受到一些長期存在的問題的負面影響。IT安全專業(yè)人士表示,他們很少找行政管理層表達意見,擔心長時間宕機(Shutdown,停機;down機)會對用戶造成不便,他們無可奈何地覺得只有在發(fā)生嚴重安全事故以后才能拿得到新項目的資金。
什么時候一個部門才會發(fā)飆換掉一個安全廠商的產(chǎn)品呢?該份研究報告指,宕機時間、部署困難或是用戶界面等是觸發(fā)更換安全廠商的最大因素。受訪者的回應結(jié)果表明,預算出現(xiàn)變化時有時候也會騰出資金來購買新的安全平臺,另外,發(fā)生數(shù)據(jù)泄漏事故后,企業(yè)組織被迫會花錢強化系統(tǒng)和其他安全措施。
該研究還發(fā)現(xiàn)受訪者對公司里的安全系統(tǒng)的有效性并不確定。44%的受訪者表示,公司的安全解決方案沒有提供公司遭受的網(wǎng)絡攻擊和潛在后果的足夠資料給他們。同樣,該研究還發(fā)現(xiàn),那些用于檢測惡意軟件感染的技術(shù)往往找不到攻擊的根本原因。
解決方案提供商告訴記者,報告里的結(jié)果沒什么令人驚訝的。他們表示,利用先進威脅達到恐嚇的戰(zhàn)術(shù)很少能撼動中小型企業(yè)老板,無以令他們花錢購買新的安全技術(shù)。
Eden Technologies是一家總部位于紐約的安全咨詢和解決方案提供商。Eden Technologies的安全事務主管Andrew Sherman表示,通過炒作威脅推銷安全技術(shù)的做法是錯誤的,完全無助于與客戶建立信任關系。
Sherman稱,不能全面控制、不能保證足夠的預防措施,這些問題總是存在的。他表示,如果企業(yè)部門能明智地在控制用戶訪問、監(jiān)控關鍵流程和解決配置問題和軟件漏洞方面花錢,許多來自先進威脅所造成的風險就會大大減少。
Sherman表示,“有人寫帶漏洞的軟件,我們就建了些越來越復雜的安全環(huán)境對付這事。有一點在一定程度上頗有些令人沮喪,攻擊者往往重復使用一些相對成熟的威脅技術(shù),卻仍然能從中獲得極大的成功。”
Digital Defense是一家總部設在美國圣安東尼奧的數(shù)字防御供應商,專門從事企業(yè)網(wǎng)絡的風險評估。Digital Defense的研發(fā)副總裁Mike Cotton表示,規(guī)范條例是影響到安全投資決策的一個主要因素。許多部門現(xiàn)在已經(jīng)不是像過去一樣草草地檢查一些諸如支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)的指引了,他們已經(jīng)成熟,開始著眼顛覆性的技術(shù),如采用云計算、移動和虛擬化。
Cotton在最近的一次采訪中表示,“成本永遠是一個主要因素,但我們也見到對部署風險的關注,原因是人們擔心一些導致混亂或系統(tǒng)中斷的活動,即便只是在很短的時間之內(nèi)出現(xiàn)。”
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧