信息安全產業(yè)中也有二八法則

過去幾個月，我一直在從事企業(yè)安全管理和運營項目研究。作為定量研究的部分，該研究建立了一個細分模型，該模型將受訪組織劃分為三種類型：

●信息安全和運營“領導者”組織，占19%，

● 信息安全和運營“跟隨者”組織，占49%，

● 信息安全和運營“落后者”組織，占32%。

去年，我開展了一項以高級持續(xù)性威脅(APT)為核心的研究項目，在那個項目中，我構建出的細分模型也與此類似：

●對APT有大量準備的組織占21%，

●對APT有一些準備的組織占43%，

● 對APT少有準備的占36%。

這里出現了一種一致的或有點預測性的模型，該模型可用我們熟悉的2/8法則來總結。平均起來，只有20%的大型企業(yè)組織對網絡安全事件有充分的應對準備，剩下80%的企業(yè)都有遲滯。

對該數據更詳細的分析能被總結為以下三個方面：

1.風險管理

20%的領先者擁有好多的部署和網絡的操控，剩下80%在很多方面跟不上，如：配置管理、資產管理、變動管理、漏洞掃描、補丁或威脅情報。

2.事件檢測

20%的先進者擁有很強大的安全隊伍、資產和網絡流量，以便快速識別行為是否正常。剩下的80%在很多方面都不夠得力，如：監(jiān)控行為、收集數據、預測可疑趨勢等。

3.事件響應

幾乎所有組織在這個環(huán)節(jié)都有問題，但是有20%的先進者在正規(guī)業(yè)務、IT策略和進程方面都盡量做了工作，以便實現事件響應和內外部溝通。另外80%以無組織的的“救火”方式進行響應，這會導致耗時延遲和高代價的錯誤。

值得提醒的是，20%的先進者并不滿足于其為人稱道之處，他們在很多方面都是最積極的，如：增加安全從業(yè)人員、與第三方服務供應商合作、測試安全控制效力、構建企業(yè)級網絡安全策略、流程和技術控制。

當我們描述今天的企業(yè)信息安全形勢時，我們總是傾向于將焦點放在那20%的先進者身上，但我們應該考慮到那80%的落后者。畢竟，我們的關鍵基礎架構服務和個人數據保護都要依賴這些苦苦奮斗的大多數。