随着专门针对知识产权的数据外泄事件与大量黑客活动的持续升温,信息安全专家、尤其是那些迫于预算压力而不得不在人才储备方面做出妥协的管理者感到压力倍增。
这也正是(ISC)2第六次全球信息安全人力研究的主要调查结果之一。这家认证机构于本周、也就是RSA大会的首日公布了这份报告。该机构还于周一利用半天时间在大会上介绍了其最为知名的项目——认证安全软件生命周期专家(简称CSSLP)与认证信息系统安全专家(简称CISSP)两大培训课程。(ISC)2与承包业巨头Booz Allen Hamilton以及研究企业Frost & Sullivan一道对全球范围的超过一万两千名信息安全专家开展了调查。
黑客成为头号安全隐患
正如大家所预料,黑客成为56%的受访者最为关注的首要安全隐患,而网络恐怖主义活动的地位则日益提升、在此次调查中跃居次席。此类有针对性的攻击完全有能力破坏关键性基础设施的正常运转:例如两年前首次浮出水面的Stuxnet,更有一些恶意内容很可能始终潜伏在机构的系统或者成功绕开了传统安全技术的围追堵截,在不知不觉中窃取着知识产权等其它一些宝贵信息。排在第三位的安全威胁则源自由“Anonymous”及其它一些零散黑客组织所带来的攻击活动。
“威胁榜前三甲已经触动了安全行业的危机点,”(ISC)2基金会主管Julie Peeler指出,她的主要工作是监管机构的培训及学员成绩等事务。“我们正处于时代的转折点,只有投入大量精力建立起值得信赖的员工队伍并使其拥有专业化的培养及安全技能,新技术所引发的破坏才有可能被彻底控制住。”
超过八成的受访者表示他们在过去一年中没有选择过新的雇主或者供职单位,但(ISC)2宣称将按计划以每年11%的增长速度在未来五年内持续提高从业安全专家的数量。不过,仍有超过一半的受访者(56%)表示所在单位缺乏足够的安全人才。
“当我们问及哪种额外支持最受欢迎时,受访者表示希望能从高管层处了解到安全事务该如何在整个机构中逐步铺开,”Taylor告诉我们。“他们认为,最需要优先解决的问题是避免企业声誉受到损害。”
还有一些受访者觉得遭受攻击后的恢复工作难以实施、成本高昂,将近四分之三的受访者认为服务停机时间才是最需要优先处理的事项。28%的受访者指出所在单位能够在一天之内修复由针对性攻击造成的后遗症。
应用安全以及BYOD安全备受瞩目
应用程序安全漏洞则最终登上安全关注榜的第一位,Taylor同时指出这一趋势在2011年的调查中就已经显露端倪。目前人才市场上经过良好培训且具备安全软件开发知识的软件开发专家非常稀缺,而这已经成为不容忽视的大问题,她补充道。
“软件工程师们真的需要对应用、产品及平台设计的安全知识多做一些深入了解,”Taylor表示。
除此之外,恶意软件感染的控制工作、云环境中的数据直观性、社交网络弊端以及BYOD趋势也纷纷登上关注榜前列。BYOD技术在78%的受访者眼中成为重大安全风险的代名词,更有74%的受访者认为要解决BYOD课题必须具备与之匹配的新型安全技能。68%的受访者表示社交媒体也是一种长期持续的安全威胁。
向云平台迁移、基础设施以及软件即服务的长期使用同样给用户带来些许焦虑情绪,(ISC)2指出。49%的受访者认为云基础服务将在2013年成为高危甚至最危险的安全问题,这一比例较2011年提高了6%。随着两年来云基础服务部署的逐步铺开,报告发现人们越来越切身感受到这一趋势的影响力以及由此带来的安全隐患。
云安全专家成为人才缺口
根据调查结果,(ISC)2认为目前人们“对于云相关风险的认识还相当模糊”;89%的受访者会把云安全水平当作安全专业人士的主要招聘标准。78%的受访者表示正在寻求优秀的安全专家来帮助自己了解云安全指导方针,并打算采用参考性架构方案。根据他们的意见,安全专家还需要掌握合规性问题、技术性知识,并熟悉合同义务及要求在安全层面的涵义。
“要想对供应商的整体风险做出科学评估,用户必须首先了解各家潜在云服务供应商,”报告指出。“面对那些没有遵循行业标准、最佳安全实践以及相关规程要求的云服务供应商,我们必须敏锐地意识到可能存在的潜在云风险、并坚决将这类合作对象拒之门外。”