網絡安全業迎來硅谷科技巨頭的“超級內卷”

網絡安全業正在迎來硅谷科技巨頭的“超級內卷”，繼谷歌宣布向網絡安全投資100億美元后，微軟也在本周宣布將在未來五年內將其網絡安全投資翻兩番，達到200億美元。

打破網絡安全市場的“第22條軍規”

在本周接受CNBC采訪時，微軟總裁布拉德史密斯表示微軟大力投資網絡安全的原因是希望打破網絡安全市場的“第22條軍規”——政府和私營企業近年來增加的網絡支出并沒有帶來更好的保護或有效打擊犯罪黑客。

微軟指出網絡安全技術人員短缺是導致企業花更多錢支付網絡安全產品原因，而這些安全產品很多時候根本就沒用/過。

以拜登總統行政令為標志，美國網絡安全市場正在進入新的一輪投資周期，但大多數企業的網絡安全觀念很簡單：用錢砸。

“這是一個很大的問題，”智庫Ponemon研究所的董事長拉里說：“我們看到許多組織對從未部署過的技術進行投資。”

人才短缺才是最大威脅

微軟總裁布拉德史密斯周二在接受CNBC的“Squawk Box”采訪時表示，這家科技巨頭的一些新支出正在致力于幫助企業客戶，以及地方、州和政府層面，把已經采購的，在庫房吃灰的安全產品和服務用起來。

史密斯認為網絡支出與安全回報（成效）之間脫節的最大原因之一是人才短缺。

缺乏網絡安全專業人員不是技術部門的問題，而是所有主要行業的重大問題。在最近的白宮會議之后，私營部門承諾提供技能培訓，以幫助填補美國大約500,000個網絡安全職位空缺的缺口。僅谷歌就承諾在五年內投資超過100億美元并培訓10萬人。

“我們一直在客戶身上看到這一點，”Trusted Sec的創始人兼首席執行官大衛肯尼迪在一封電子郵件中寫道。“這些公司會購買產品，但不包括直接員工來支持它，否則他們無法獲得內部資金批準來支持它。因此，網絡安全投資僅安裝了一半或根本沒有安裝，只是處于疲軟狀態。他們幾乎沒有任何價值。”

他補充說：

“如果沒有合適的人才，無論你花多少錢，你都不會安全。你不能簡單地通過購買大量新奇的安全設備和軟件來解決這個問題，但這正是大多數公司的做法。”

Phosphorus Cybersecurity首席執行官兼 IBM Security前首席技術官Chris Rouland表示，即使在財富100強中，許多公司也在新的網絡安全技術上花費了大量資金，但缺乏正確實施這些技術的合適人選。“有許多公司采用安全解決方案來幫助保護他們免遭攻擊，但他們根本無法將所有這些都落實到位，因此他們仍然容易受到攻擊。”

專注政府的短板

對于規模較小的公司和地方政府來說，人才問題最為突出，它們在薪酬上難以競爭，造成了Rouland所說的“巨大的人員缺口”。

微軟新的網絡安全支出的一部分集中在解決公共部門內的這個問題上。史密斯告訴CNBC，它將在明年提供1.5億美元的免費工程服務，“幫助聯邦、州和地方政府迎頭趕上，以便他們能夠實施在某些情況下已經可用的安全保護，他們正在已經購買但尚未使用。”

史密斯在最近的國會證詞中指出，即使在聯邦政府層面，微軟在審查網絡協議時發現的網絡投資與成功部署之間的脫節也“令人不安”。即使是基本的網絡衛生和安全最佳實踐，例如多因素身份驗證，也沒有到位。

IT治理協會ISACA前任董事會主席兼現任董事Brennan P. Baybeck以及副總裁和CISO表示，在許多組織中，在網絡安全團隊中投入更多資金仍然是一項挑戰，在這些組織中，網絡安全支出周期和人員支出預算通常是兩個獨立的工作。

隨著犯罪黑客變得越來越復雜，尤其是勒索軟件，它使網絡安全人員的成本變得更高。這導致董事會認識到網絡安全不僅僅是一個“技術問題”，它創造了對網絡安全職位的新需求，但也使得比其他人才庫小得多的網絡安全人才庫的競爭變得尤為激烈。他說，技術領域，甚至在部署技術之前就增加了員工跳槽的風險。

ISACA最近發布的2021年網絡安全狀況調查收集了全球3,600名信息安全專業人員的回復，發現61%的受訪者表示他們的網絡安全團隊人手不足；55%的受訪者表示他們的網絡安全職位空缺。在過去一年遭受更多網絡攻擊的組織中，68%的組織告訴ISACA他們人手不足。

“現在雖然他們醒了，”Baybeck說：“忙不迭之地購買了50種安全產品，但如果無法部署它，那也無濟于事。人才不像技術投資，它需要持續維護，許多程序和安全組織沒有考慮到這一點。但我們真的在努力改變這一點。勞動力短缺必須成為計劃的一部分。”

數十萬安全人才的缺口不會很快被填補，但網絡安全專家表示，有多種解決方案將在未來幾年有所幫助，包括微軟和谷歌在內的最大科技公司所花費的巨額資金可以改變現狀。

“潛在的影響是巨大的，但所有相同的問題都可能再次發生，”Ponemon指出說，網絡安全團隊繼續在組織內的孤島中做出決策，這導致支出和有效實施之間存在脫節。

尋找技術人員的新方法

網絡安全行業對其招聘方式有不同的看法。過去，許多公司將他們的搜索范圍局限在具有特定安全技能的熟練技術人員身上，但Baybeck表示，現在許多組織正在尋求更廣泛的開發人員和工程社區來解決問題，例如可能導致漏洞的錯誤代碼。

“雇用100名程序員比雇用100名網絡安全專業人員容易得多，后者你根本找不到。即使你找到了，他們的成本也比軟件開發人員高得多，”Roulan說。

除了谷歌等公司為提升員工技能而開設的證書課程外，美國大學還加大了網絡安全學位課程的力度，并開始培養出許多新的專業人士。

“隨著時間的推移，他們將有助于縮小招聘的供需缺口，但與此同時，公司將不得不弄清楚如何增加安全人員以抵御當前的威脅，”Rouland說。

預計未來幾年犯罪黑客組織將增加對人工智能和自動化的使用，人類網絡工作人員面對新興威脅的更大挑戰，但這些技術也可被用于解決網絡安全技能差距。

Baybeck表示，自動化最終將減少網絡安全對人類的依賴，但目前尚不清楚像人工智能這樣的搖擺技術會有多少。

人工網絡安全與自動化網絡安全之間的平衡已經在發生變化。許多安全運營中心過去在四個響應級別中100%配備人工，但現在跨平臺擁有至少針對不太嚴重的威脅級別的自動化解決方案是很常見的。“這是一整套資源，你需要招募50人，采用24/7工作模式，如今很多人可以做其他事情，”貝貝克說。“AI替代了全球勞動力的很大一塊。”

自身利益是保持大型科技公司積極性的另一個因素。

“大型科技公司會積極創建通用標準，他們認為如果他們不做某事，他們就會站在政府的對立面，”Ponemon說。

但Ponemon擔心在以往技術投資周期中發生的混沌因素或飽和效應會在網絡安全領域再次重演——在網絡安全新技術采用的最早階段，組織內部的積極性很高，但隨著部署的復雜性增加，組織對其失去信心，最新技術可能成為“架子”。

Ponemon說：“你購買和實施的越多，你就越有可能發現技術存在漏洞并需要彌補差距。”“你需要考慮所有可能出錯的問題，而不僅僅是正確的問題。”

（原標題：超級內卷？微軟向網絡安全投資200億美元）