超级内卷?微软向网络安全投资200亿美元

网络安全业正在迎来硅谷科技巨头的“超级内卷”,继谷歌宣布向网络安全投资100亿美元后,微软也在本周宣布将在未来五年内将其网络安全投资翻两番,达到200亿美元。

打破网络安全市场的“第22条军规”

在本周接受CNBC采访时,微软总裁布拉德史密斯表示微软大力投资网络安全的原因是希望打破网络安全市场的“第22条军规”——政府和私营企业近年来增加的网络支出并没有带来更好的保护或有效打击犯罪黑客。

微软指出网络安全技术人员短缺是导致企业花更多钱支付网络安全产品原因,而这些安全产品很多时候根本就没用/过。

以拜登总统行政令为标志,美国网络安全市场正在进入新的一轮投资周期,但大多数企业的网络安全观念很简单:用钱砸。

“这是一个很大的问题,”智库Ponemon研究所的董事长拉里说:“我们看到许多组织对从未部署过的技术进行投资。”

人才短缺才是最大威胁

微软总裁布拉德史密斯周二在接受CNBC的“Squawk Box”采访时表示,这家科技巨头的一些新支出正在致力于帮助企业客户,以及地方、州和政府层面,把已经采购的,在库房吃灰的安全产品和服务用起来。

史密斯认为网络支出与安全回报(成效)之间脱节的最大原因之一是人才短缺。

缺乏网络安全专业人员不是技术部门的问题,而是所有主要行业的重大问题。在最近的白宫会议之后,私营部门承诺提供技能培训,以帮助填补美国大约500,000个网络安全职位空缺的缺口。仅谷歌就承诺在五年内投资超过100亿美元并培训10万人。

“我们一直在客户身上看到这一点,”Trusted Sec的创始人兼首席执行官大卫肯尼迪在一封电子邮件中写道。“这些公司会购买产品,但不包括直接员工来支持它,否则他们无法获得内部资金批准来支持它。因此,网络安全投资仅安装了一半或根本没有安装,只是处于疲软状态。他们几乎没有任何价值。”

他补充说:

“如果没有合适的人才,无论你花多少钱,你都不会安全。你不能简单地通过购买大量新奇的安全设备和软件来解决这个问题,但这正是大多数公司的做法。”

Phosphorus Cybersecurity首席执行官兼 IBM Security前首席技术官Chris Rouland表示,即使在财富100强中,许多公司也在新的网络安全技术上花费了大量资金,但缺乏正确实施这些技术的合适人选。“有许多公司采用安全解决方案来帮助保护他们免遭攻击,但他们根本无法将所有这些都落实到位,因此他们仍然容易受到攻击。”

专注政府的短板

对于规模较小的公司和地方政府来说,人才问题最为突出,它们在薪酬上难以竞争,造成了Rouland所说的“巨大的人员缺口”。

微软新的网络安全支出的一部分集中在解决公共部门内的这个问题上。史密斯告诉CNBC,它将在明年提供1.5亿美元的免费工程服务,“帮助联邦、州和地方政府迎头赶上,以便他们能够实施在某些情况下已经可用的安全保护,他们正在已经购买但尚未使用。”

史密斯在最近的国会证词中指出,即使在联邦政府层面,微软在审查网络协议时发现的网络投资与成功部署之间的脱节也“令人不安”。即使是基本的网络卫生和安全最佳实践,例如多因素身份验证,也没有到位。

IT治理协会ISACA前任董事会主席兼现任董事Brennan P. Baybeck以及副总裁和CISO表示,在许多组织中,在网络安全团队中投入更多资金仍然是一项挑战,在这些组织中,网络安全支出周期和人员支出预算通常是两个独立的工作。

随着犯罪黑客变得越来越复杂,尤其是勒索软件,它使网络安全人员的成本变得更高。这导致董事会认识到网络安全不仅仅是一个“技术问题”,它创造了对网络安全职位的新需求,但也使得比其他人才库小得多的网络安全人才库的竞争变得尤为激烈。他说,技术领域,甚至在部署技术之前就增加了员工跳槽的风险。

ISACA最近发布的2021年网络安全状况调查收集了全球3,600名信息安全专业人员的回复,发现61%的受访者表示他们的网络安全团队人手不足;55%的受访者表示他们的网络安全职位空缺。在过去一年遭受更多网络攻击的组织中,68%的组织告诉ISACA他们人手不足。

“现在虽然他们醒了,”Baybeck说:“忙不迭之地购买了50种安全产品,但如果无法部署它,那也无济于事。人才不像技术投资,它需要持续维护,许多程序和安全组织没有考虑到这一点。但我们真的在努力改变这一点。劳动力短缺必须成为计划的一部分。”

数十万安全人才的缺口不会很快被填补,但网络安全专家表示,有多种解决方案将在未来几年有所帮助,包括微软和谷歌在内的最大科技公司所花费的巨额资金可以改变现状。

“潜在的影响是巨大的,但所有相同的问题都可能再次发生,”Ponemon指出说,网络安全团队继续在组织内的孤岛中做出决策,这导致支出和有效实施之间存在脱节。

寻找技术人员的新方法

网络安全行业对其招聘方式有不同的看法。过去,许多公司将他们的搜索范围局限在具有特定安全技能的熟练技术人员身上,但Baybeck表示,现在许多组织正在寻求更广泛的开发人员和工程社区来解决问题,例如可能导致漏洞的错误代码。

“雇用100名程序员比雇用100名网络安全专业人员容易得多,后者你根本找不到。即使你找到了,他们的成本也比软件开发人员高得多,”Roulan说。

除了谷歌等公司为提升员工技能而开设的证书课程外,美国大学还加大了网络安全学位课程的力度,并开始培养出许多新的专业人士。

“随着时间的推移,他们将有助于缩小招聘的供需缺口,但与此同时,公司将不得不弄清楚如何增加安全人员以抵御当前的威胁,”Rouland说。

预计未来几年犯罪黑客组织将增加对人工智能和自动化的使用,人类网络工作人员面对新兴威胁的更大挑战,但这些技术也可被用于解决网络安全技能差距。

Baybeck表示,自动化最终将减少网络安全对人类的依赖,但目前尚不清楚像人工智能这样的摇摆技术会有多少。

人工网络安全与自动化网络安全之间的平衡已经在发生变化。许多安全运营中心过去在四个响应级别中100%配备人工,但现在跨平台拥有至少针对不太严重的威胁级别的自动化解决方案是很常见的。“这是一整套资源,你需要招募50人,采用24/7工作模式,如今很多人可以做其他事情,”贝贝克说。“AI替代了全球劳动力的很大一块。”

自身利益是保持大型科技公司积极性的另一个因素。

“大型科技公司会积极创建通用标准,他们认为如果他们不做某事,他们就会站在政府的对立面,”Ponemon说。

但Ponemon担心在以往技术投资周期中发生的混沌因素或饱和效应会在网络安全领域再次重演——在网络安全新技术采用的最早阶段,组织内部的积极性很高,但随着部署的复杂性增加,组织对其失去信心,最新技术可能成为“架子”。

Ponemon说:“你购买和实施的越多,你就越有可能发现技术存在漏洞并需要弥补差距。”“你需要考虑所有可能出错的问题,而不仅仅是正确的问题。”

前一篇登峰造极-渗透测试PTE实战讲座(第一期)
后一篇安全分析师面试必问的7大问题