本文来自微信公众号“安全牛”。
随着网络安全威胁的不断演变和升级,企业开始关注以服务为基础的新型网络安全能力构建,以面对日益复杂的安全威胁。为了更好地了解当前网络安全服务在我国企业组织中的落地应用情况,安全牛日前开展了针对新一代网络安全服务应用的问卷调查活动。
本次调研通过网上渠道自愿报名方式开展,一共收回136份问卷,其中有效问卷98份(由甲方企业用户的网络安全及相关岗位人员填写),涉及金融、制造、电信运营商、互联网等行业。安全牛希望本次调查工作能够在一定程度上反映当前我国企业中网络安全服务的应用现状,并为组织在后续新一代网络安全服务能力建设中提供可行的实施思路与建议。
通过对有效调查问卷所反馈结果的分析和汇总,安全牛发现国内企业的安全服务应用基本达到了标准成熟度阶段,并正在构建应用新一代安全服务,这也带来了对新一代网络安全服务的更多需求。而服务质量无法保证、数据泄露风险、对甲方业务理解优先、服务水平协议难以量化等因素是影响网络安全服务应用的主要挑战,65.6%的受访企业担心第三方网络安全服务的质量和实际应用效果无法达到预期。
以下是本次调研中部分重点问题的结果展现:
1、我国企业安全服务人员普遍配置不足。调查数据显示,近60%的企业专职安全人员不足3人,其中9.8%的企业甚至没有专职人员。建设和维护一支专业的安全团队需要投入大量的人力、物力和财力,这对一般的中小企业来说,投入成本相对较高。
图1企业网络安全服务人员配置情况
2、调查数据显示,目前国内近半数企业(49.2%)网络安全支出占IT整体支出的比例不足5%。超过75%的企业2024年网络安全预算同比持平或缩减,其中14.8%的企业安全预算缩减10%以上。企业网络安全预算不足会造成企业的安全防护能力薄弱。
图2 2024年企业网络安全预算情况
图3企业网络安全服务预算情况
3、调查数据显示,39.3%的企业用于第三方安全服务的支出占到20%-50%。当前国内企业安全服务能力建设需要依靠第三方服务商提供。
图4企业第三方网络安全服务支出情况
4、调查数据显示,31.2%的企业安全服务建设已经进入标准化阶段,建立了安全运营团队,并且岗位职责明确,有标准化事件响应流程,能及时应对常见安全事件;16.4%的企业具备初步的新一代安全服务,已经建立了安全事件响应中心等常态化组织,可7*24小时快速响应事件;11.5%的企业则进一步开展了新一代安全服务的建设,可利用智能技术发现未知威胁,自动化开展事件响应处置,并可应对高级威胁。
图5企业网络安全服务建设状态
5、调查数据显示,超九成的企业认为网络安全能力构建需要依赖第三方服务。由于企业普遍存在专业人才短缺、经验不足、技能不全面等问题,另外建设和维护一支专业的安全团队需要投入大量的人力、物力和财力,导致企业难以依靠自身安全团队有效应对复杂的安全威胁。而第三方安全服务提供商拥有专业的安全人才和丰富的经验,先进的安全技术和工具,可以提供持续的安全监控和威胁分析,能够帮助企业弥补企业内部安全团队的不足、及时发现和处置安全威胁、以及快速响应安全事件,提升安全防护能力,帮助企业降低风险和损失。
图6企业对第三方网络安全服务的需求情况
6、我国企业对第三方网络安全服务的需求类型广泛。调查数据显示,59%的受访企业认为需要安全咨询类服务、54.1%的受访企业认为需要安全运维类服务、45.9%的受访企业认为需要安全运营类服务、44.2%的受访企业认为需要安全支撑类服务。
图7企业对第三方网络安全服务的需求类型
7第三方网络安全服务应用存在诸多挑战。调查数据显示,65.6%的企业担心第三方网络安全服务的质量难以达到建设的预期;55.7%的企业担心第三方服务可能存在数据泄露风险;55.7%的企业担心第三方服务提供商对企业的业务理解不足;50.8%的企业担心服务水平协议(SLA)难以量化。
图8第三方网络安全服务应用挑战
8、网络安全服务的采购挑战包括采购限制和缺乏认知。调查数据显示,33.3%的企业未采购第三方的原因是采购限制,23.8%的企业缺乏对第三方网络安全服务的了解与认知。
图9第三方网络安全服务的采购挑战
9、缺乏专业安全人才和经验是企业采购第三方网络安全服务的主要原因,调查数据显示,近七成企业(68.8%)认为第三方服务可以提供专家级的安全团队和专业的安全知识和技能,近六成企业(59%)认为第三方服务可以快速响应安全事件,超过半数企业(52.4%)认为需要第三方服务帮助应对新威胁和漏洞,面对快速增长的威胁和漏洞挑战。
图10第三方网络安全服务采购的主要原因
10、企业对第三方网络安全服务的满意度有待提升。调查数据显示,近四成企业(37.7%)对第三方服务感觉一般或不满意。企业对安全服务的需求不同,很难以标准化的方式来提供,需要服务商充分理解用户业务,合理分配资源、积极利用新技术,提供定制化服务,实现用户安全能力提升。
图11对第三方网络安全服务的满意度
11、企业在选型新一代网络安全服务时,一般会从厂商的市场实力和项目服务能力两个方面进行评估。调查数据显示,59%的企业认为服务团队的专业能力是选择服务提供商的首要因素,包括团队成员的资质、经验和技术水平等。其他的选型因素则包括厂商品牌、市场表现、技术能力等方面。
图12选型网络安全服务提供商的因素
12、企业目前主要通过实际效果来评估第三方网络安全服务的价值和质量。调查数据显示,超过六成企业(65.6%)评估服务质量的方法是通过事件响应时间、重保或攻防演练的实际效果来开展。
图13评估网络安全服务质量的方式