根据上周发布的黑色帽子与会者的一项新调查,Infosec专业人士正在花费最大数量的时间和预算对组织本身创造的安全问题。
他们自己的应用程序开发团队引入的安全漏洞为35%的受访者消耗了大多数时间。购买的软件和系统占有33%的受访者。
在列表中处理复杂的目标攻击是第六名,其中20%的受访者选择它是他们在最多时间度过的三个领域之一。
与此同时,57%的人表示,他们最关心的是他们组织的复杂攻击。
当它来到消费时,只有26%的人表示,复杂的目标攻击是占据安全预算的最大部分的三个领域之一,符合由最终用户遵循公司安全政策的最终用户造成的意外数据泄漏。
当被问及他们公司的最弱链接时,最大的数字 - 33% - 选定的最终用户违反了安全政策,并且太容易被社会工程攻击所欺骗。
安全优势之间的这种差异是最大的威胁,他们花时间和金钱的地方只是调查所确定的差距之一。
另一个人与东西互联网有关。
最大的受访者,36%表示,他们认为基于物联网的袭击将在两年内最大的担忧。然而,只有3%的人表示,IOT是今年的三大预算优先事项之一。
缺乏资源
近三分之三的受访者73%表示,他们在来年可能会有重大妥协。
大多数人也表示,他们没有足够的资源来处理他们所面临的威胁。
只有27%的人表示,他们有足够的员工,22%描述了他们的安全部门,“完全水下”或“什么员工?”
只有34%的人表示,他们有足够的资金 - 21%表示,通过预算限制,他们被“严重受到了妨碍”。“
大多数受访者55%,也表示他们可以使用更多的培训。只有36%的人表示他们有他们所需的技能,他们需要完成工作,9%的人表示他们觉得他们感到“准备好处理攻击或剥削他们可能在不久的将来遇到他们可能会遇到的攻击或剥削。”
该调查包括460名保安专业人士的回答,其中包括管理人员和员工,主要来自大公司。这是该调查的第一年,是在上个月进行的。
华盛顿州Bothell的首席执行官史蒂夫•康拉德(Steve Conrad)表示,花费的时间、分配的预算和风险最大的领域之间的脱节可能是安全环境变化速度之快的一个因素。总部位于美国的安全意识培训公司MediaPro Holdings, LLC。
“危险因素是人类的最弱因素,是人类,”他说,并补充说,调查显示企业需要更多地奉献更多资源来帮助开发人员编写更安全的代码,并帮助他们所有的员工更加安全意识。
考虑到威胁的快速变化性质,即使是年度培训计划也可能不够。
“如果你每年一次更新你的防病毒,那就不是一个良好的安全姿势,”他说。“但这就是我们对人类元素所做的事情。我们不给他们他们需要完成工作所需的工具。”
他补充说是一个广泛的看法,你不能训练人们更加安全意识。
“我认为感知是错误的,”他说。“随着良好的培训,良好的通信,您实际上可以在组织中具有可衡量的变化。”
这个故事“Infosec Prosing最多的时间,自我造成的问题上的钱”最初发表方案 。