安全漏洞的成本呈上升趋势

普华永道和CSO网站联合进行了一项全球信息安全情况的调查(Global State of Information Security Survey),其结果显示目前被检测出来的网络安全漏洞在逐年增长,而且安全漏洞的成本也在增加,但企业的安全预算却并没有太多增长。

从我们以往的全球信息安全调查结果来看,今年的信息安全形势并没有好转,相反今年的信息安全状况是最糟糕的。

支付卡漏洞问题频频出现,并影响到Target和Home Depot等大型公司和上亿的普通消费者。而数据泄露的问题也并没有减少,就在近期全国连锁的三明治店Jimmy John's发布消息称其数据遭到泄露。当然不仅仅是支付卡受到很大的冲击,医疗行业也出现过严重的数据泄露的问题。医疗服务提供商Community Health Systems表示,今年夏天该公司就丢失了450万个病历。

这一年里,企业首席安全官和安全团队都在努力对抗各种各样的、严重的软件漏洞。例如日前曝光的Shellshock漏洞就引起了很多企业的关注,该漏洞是 在广泛应用的GNU项目的Bash shell中发现的。由于很多应用和设备上都在使用Bash,所以Shellshock漏洞的影响要远远超过今年早些时候曝光的Heartbleed漏 洞,Heartbleed是在客户和服务器之间的OpenSSL加密数据流量的早期版本中发现的漏洞,而Community Health Systems的泄露事件则是由Heartbleed漏洞引发的。

在这个背景下,普华永道和CSO合作进行了2015年暨第十二个年度全球信息安全情况调查,调查的结果有些是必然发生的,而有些却出乎了人们的意料。如果 说这些攻击和致命的漏洞还有好的一面的话,那就是大型企业的高层管理人员可能因此会对企业的网络安全更加重视,并增加对企业IT安全的投入,这一点是毫无 疑问的。然而出人意料的是,企业IT安全支出却在以4%的概率逐年递减。

在今年的调查中,受访者表示他们检测到的安全漏洞比去年的更多。参与此次调查的9700多位安全、IT和业务主管发布报告指出,他们检测到的安全事件的数量在今年已经上升到4280万次,增长率为48%.据报告作者指出,过去六年里检测到的安全事件的年复合增长率为66%.

此外,由于安全漏洞的问题频发,导致企业的经济损失也在不断上涨。有意思的是,据相关报告显示,小企业安全漏洞的成本却在下降,比例为37%;中型企业的安全漏洞成本呈小幅增长,比例为25%,而大型企业的安全漏洞成本增长最高,比例为53%.IT安全市场研究公司Securosis 的分析师Mike Rothman表示:“大型企业之所以在数据泄露中遭受的损失最多,是因为大企业中可能会有更多的数据记录,而监管这些数据记录的成本也会更高。”

利用数据分析检测漏洞

虽然企业中一般的安全预算会有所下降,但是企业对安全分析投入的成本却在上涨。约有40%的受访者表示,他们会利用大数据[注]分析作为其安全管理的一部分。而有55%的受访者表示,利用安全数据分析可以帮助他们检测到更多的安全漏洞。

行业分析对于企业来说利益有多大还尚不得而知,但是451研究公司(451 Group)安全分析师Javvad Malik并不认为多数企业的努力会有相应的收获。他说:“数据分析在大多数企业中才刚刚起步,安全信息和事件管理人员每天都能收到成千上万条预警,而企 业要重视这些预警。这正好是大数据平台发挥作用的地方,但是现在大多数的企业安全官却并不懂得如何利用大数据平台(+微信关注网络世界),有时候他们还需 要去供应商那里询问如何利用数据分析的工具来帮助他们解决问题。”

Rothman表示:“当人们使用大数据安全分析时,就意味着他们需要从传统的日志管理和查询着手再到Hadoop,然后是云服务。很多企业都在研究如何 通过这些方式来提高他们安全分析的效率,但是又有多少企业会从企业的运营角度来着手呢?这样的企业其实并不多。而又有多少企业能够及时发现他们并不知道的 安全事件呢?我想这样的企业更少。”

如果安全分析专家的方法正确的话,那么企业的安全分析将有望成功,并会给企业带来更多的好处,但是企业不可能在短期内看到收益,因为这将需要一个长期的过程。事实上,今年随着安全漏洞和威胁不断增长,以及很多著名的、影响很大的泄露事件的发生,企业都希望投入更多的安全成本以确保企业的数据安全。普华永道的调查发现,小企业将其安全成本投资降低了20%,而大、中型企业则稍稍提升了他们的安全成本投入,比例为5%.

这主要是因为随着企业开始启动云计算[注]计划,信息安全预算开始融合了到企业的运营预算中。爱尔兰BH咨询公司Dublin的首席执行官Brian Honan说:“企业的应用和项目中都广泛部署了云计算,这也是其中一个首要原因。这促使了许多大型IT项目并不仅仅归属于IT预算,同时还被归属到了业务预算中。随着全球经济的复苏,企业将在IT上投入更多成本,我们也将看到企业在安全上的投入将比往年更高。”

相关的数据也支持了Honan的这一观点。从调查的数据显示来看,去年企业IT投入资本上升了40%,而信息安全的投入则上升了51%.然而,曝光的数据泄露等安全事件,以及因安全事件引起的经济损失并没有下降,反而呈上升趋势。但是,我们仍然期待明年的情况会有所不同。

原文发布时间为:2014年11月4日

本文来自合作伙伴至顶网,了解相关信息可以关注至顶网。

时间: 2024-10-03 07:51:00

安全漏洞的成本呈上升趋势的相关文章

2015移动安全漏洞年报

2015移动安全漏洞年报 第一章 2015年应用漏洞 1.1.业界公开的应用漏洞类型和分布 2015是不平凡的一年,各界媒体对移动应用的漏洞关注度也越来越高,漏洞的产生不仅带来用户设备与信息的安全影响,也给企业带来业务或声誉上的损失. 阿里聚安全每周对国内外50家著名安全公司.媒体.漏洞平台的态势进行分析,国内外移动安全事件和资讯的关注依然是围绕操作系统和移动应用的技术风险展开,其中国内更加关注移动应用的漏洞风险.以下数据结论来自于阿里聚安全对业界风险态势的统计. 1.  行业分布 根据公开的漏

TK 教主:Android 成为漏洞王?真实漏洞排名可能另有玄机

   挖掘机技术哪家强,XXXXXX 这句耳熟能详的广告语放在安全业也是可行的,不过,这是一个让厂商不怎么开心的榜单.最近,CVE Details公布了一个最新报告,从中可以看出 2016 年哪些系统漏洞最多,哪些厂家"贡献"的漏洞最多. 先看看"漏洞排行榜". 于是,一个可能比较惊悚的标题出现了:Android 成 2016 年报告漏洞最多系统,吓得编辑小李赶紧看了看自己的手机,还好是 iOS(拉仇恨). 然而,事实真的有这么残酷?为什么安卓的漏洞数量会这么多?安

网络犯罪成本攀升 应用层安全需更多预算

研究报告旨在量化与"网络犯罪以及从网络攻击中恢复"相关的财务损失,预算不足让企业难以应对叠高的成本. Ponemon的报告<2015年网络犯罪成本研究>(由HP赞助,调查设计58家美国组织以及全球7个国家的252家组织),确定了数据泄漏事故的平均成本以及从中恢复所需要的成本.报告发现这些成本仍旧在持续攀升. 卡帕斯基实验室发布报告<损失控制:安全漏洞的成本>,该报告调查了26个国家的5500家公司,并确定从网络攻击事件中恢复所需要付出的代价. 研究结果并不十分匹

开源软件之七宗罪以及背后的阴谋

我们每天使用着大量的开源软件,我们歌颂她赞美她.当有人站出来说一句开源不好 肯定会激起N多人站出来批评.然后给你列举出N多开源的好处和闭源的坏处. 首先我不反对开源,本文只是无聊时候的自己一点思考.想喷的各位请看完再喷.谢谢 自从开源运动发起以后.各种针对商业软件为目标的开源项目相继启动.而且冠以开源之名 就会得到尊重得到大家的支持.哪怕他曾经是一个"臭名昭著"的企业. 1. 安全性---代码可审查和补丁更新效率 以安全性最为顶尖的Linux为例吧.那些鼓吹Linux的多么无敌的大神们

社工方法加载OLE对象,更改浏览器代理设置窃取信息

随着 Windows 安全性的明显提高和缓解措施的利用,攻击者为了避免昂贵的漏洞利用成本,更倾向于采用低成本的社会工程方法进行攻击.最近,我们发现了使用社工方法加载恶意OLE 对象,通过更改用户浏览器代理设置来窃取敏感信息的攻击. 1 攻击样本 攻击通过邮件附件方式传播: 图:邮件样例 在邮件附件.docx文件中,是一个双击可运行脚本的OLE嵌入对象,它通过一个类似发票或收据的图标来掩饰自身. 图:附件配有德语标题"要查看收据,请双击运行" 双击图片之后,运行了一个貌似正常的JScri

VR中的白帽机制,这把安全的双刃剑应该如何使用?

白帽与黑客相对,简单来说白帽就是未受聘用的网络安全管理员,有点类似于侠盗罗宾汉.而所谓的白帽机制,即利用白帽黑客来挖掘程序系统中漏洞的一种形式. Facebook.微软,Google目前都有自己与VR相关的白帽机制,主要手法就是将程序的查错权力放开,借助在野的VR专家来协助修补漏洞.包括MR相关的操作系统Windows Holographic和移动VR平台Daydream,它们都被划定在漏洞奖励范围之内,而Facebook Bug Bounty计划也将影响到Rift程序的安全等级. 但在去年12

Android平台中的安全编程

CERT安全编程团队,隶属于卡内基梅隆大学软件工程学院,最近发布了Android平台上Java应用的安全编程指南. CERT在该领域已经有所积累,并且在2013年发布CERT Java安全编程规范,后来出版Java编程指南:可靠安全编程的75条建议一书,该Android指南是对以上工作成果的拓展和延伸.所以,在新版Android编程规范和指南中,一部分是参照已有的Java规范指南,当然也少不了与Android相关,致力于解决移动相关问题的新规则. Lori Flynn是发起CERT Androi

生物医药:挑战技术制高点

文/本刊记者 杨海霞 中国已经成为世界工厂,但在国际市场上却难以找到"中国制造"的医药产品.对于发展比较落后的中国医药行业来说,生物技术成为中国赶超世界先进水平的重要机会--这是记者采访中,专家们的普遍共识. "中国生物医药产业起步比较晚,与化学药的规模相比非常小.但是,目前国外的药品除了专利以外的,中国已经都有了",中国医药管理协会会长于明德对<中国投资>表示.在他看来,中国生物医药技术的国际地位并不高,通过生物技术实现医药产业的跨越式发展,对于中国而

物联网的风险需要平衡

如今,物联网的应用越来越广泛,而物联网(IoT)承诺将提供诸如自动化服务,优化资源利用率,更好的绿色证书等诸多业务优势.但与所有的新技术一样,存在新的风险,用户必须考虑风险/价值平衡. 很多人都对去年针对Dyn进行的分布式拒绝服务攻击(DDoS)以及重大的服务中断比较熟悉.早在21世纪初期,由于具有多个漏洞,并缺乏安全意识,工作站遭到DDoS攻击,这往往是由大型僵尸网络病毒造成的影响.如今,人们有了更好的安全意识,操作系统厂商已经提高了他们产品的防御能力.但是在这里,人们再次遭遇僵尸网络的攻击,