安全轉(zhuǎn)型研究基金會(huì)(Security Transformation Research Foundation)近日發(fā)布的網(wǎng)絡(luò)安全內(nèi)容關(guān)鍵詞分析突顯了網(wǎng)絡(luò)安全語(yǔ)境在過(guò)去20年中的發(fā)展軌跡和重大趨勢(shì)。

該基金會(huì)對(duì)安全咨詢公司EY于2002-2018年期間進(jìn)行的17個(gè)年度“ 全球信息安全調(diào)查報(bào)告” 進(jìn)行了語(yǔ)義分析，得出了以下一些數(shù)據(jù)觀點(diǎn)：

[[318451]]

2010年是網(wǎng)絡(luò)安全兩個(gè)時(shí)代的分水嶺

關(guān)鍵詞變化和詞頻變化統(tǒng)計(jì)結(jié)果顯示，2010年是一個(gè)分水嶺，網(wǎng)絡(luò)安全相關(guān)內(nèi)容呈現(xiàn)“技術(shù)化和負(fù)面化”趨勢(shì)：

從合規(guī)到威脅防御，云安全關(guān)注度進(jìn)入第二個(gè)增長(zhǎng)周期

截至2009年的“第一個(gè)十年”，網(wǎng)絡(luò)安全關(guān)鍵詞主要圍繞風(fēng)險(xiǎn)和合規(guī)性，但是在接下來(lái)的十年中，這些考慮顯然已經(jīng)消退，被對(duì)威脅和事件的關(guān)注所取代：

在過(guò)去的20年中，業(yè)界對(duì)云安全的擔(dān)憂急劇爆發(fā)，并在2010年、2011年和2012年達(dá)到高潮，然后對(duì)云安全的擔(dān)憂逐漸消退成為“新常態(tài)”，但2019年開(kāi)始，對(duì)云安全問(wèn)題的關(guān)注開(kāi)始進(jìn)入第二輪增長(zhǎng)周期：

在過(guò)去20年間，企業(yè)界和安全產(chǎn)業(yè)正在達(dá)成一種主流共識(shí)：網(wǎng)絡(luò)安全不再僅僅是合規(guī)性和風(fēng)險(xiǎn)問(wèn)題，技術(shù)在變化，威脅是真實(shí)的，事件確實(shí)會(huì)影響業(yè)務(wù)。對(duì)合規(guī)、云安全和安全事件的關(guān)注度總體變化趨勢(shì)如下：

正如基金會(huì)所言，“安全行業(yè)熱衷于談?wù)摪踩┒春凸敉{，但是真正解決的問(wèn)題卻不多”，諸如“風(fēng)險(xiǎn)、威脅、合規(guī)性或事件”之類的關(guān)鍵詞，出現(xiàn)頻率是“治理、預(yù)算、交付、優(yōu)先級(jí)、文化或技能”的3.5倍。

網(wǎng)絡(luò)安全的新定位：數(shù)字化轉(zhuǎn)型的賦能者

過(guò)去二十年間，業(yè)界談?wù)摼W(wǎng)絡(luò)安全時(shí)，開(kāi)始越來(lái)越多地提及數(shù)字化、創(chuàng)新、客戶、業(yè)務(wù)增長(zhǎng)和商業(yè)價(jià)值，這表明安全與數(shù)字化轉(zhuǎn)型正在變得更為緊密相關(guān)，業(yè)界對(duì)網(wǎng)絡(luò)安全與企業(yè)競(jìng)爭(zhēng)力、商業(yè)價(jià)值的關(guān)系更加關(guān)注，網(wǎng)絡(luò)安全的定位正在從合規(guī)和風(fēng)險(xiǎn)管理向數(shù)字化轉(zhuǎn)型賦能轉(zhuǎn)型。

總體而言，正如基金會(huì)所言，“安全行業(yè)傾向于談?wù)摵芏嗫赡艹鰡?wèn)題的地方……但是要解決問(wèn)題卻做得不多”，帶有諸如風(fēng)險(xiǎn)、威脅、合規(guī)性或事件之類的關(guān)鍵詞標(biāo)記的3.5倍。在所有調(diào)查中，比治理、預(yù)算、交付、優(yōu)先級(jí)、文化或技能更為頻繁。

過(guò)去十年安全業(yè)界的十大熱詞詞頻統(tǒng)計(jì)(風(fēng)險(xiǎn)、威脅、合規(guī)、事件排名前四)：

過(guò)去二十年CISO角色的兩次變遷：

展望網(wǎng)絡(luò)安全已經(jīng)開(kāi)啟的第三個(gè)十年，全行業(yè)必須朝著更加清晰的重點(diǎn)——“執(zhí)行”轉(zhuǎn)移：不再僅僅因?yàn)轱L(fēng)險(xiǎn)偏好或合規(guī)檢查而將安全視為安全。同樣CISO僅僅從事消防工作已不再足夠，CISO必須直達(dá)“天庭”，讓董事會(huì)和高級(jí)管理人員明白，安全不是縫縫補(bǔ)補(bǔ)又一年，而是需要大量投資才能奪取勝利果實(shí)和核心競(jìng)爭(zhēng)力(編者按：例如在微盟與有贊的競(jìng)爭(zhēng)中，安全能力發(fā)生了決定性的作用)。

越來(lái)越多的CISO意識(shí)到，如果不能建立正確的安全架構(gòu)和安全運(yùn)營(yíng)模型，一味向安全廠商砸錢(qián)并不能建立可靠的安全能力。

總之，交付是安全的當(dāng)務(wù)之急，尤其是在安全成熟度較低的企業(yè)，CISO必須成為真正的轉(zhuǎn)型領(lǐng)導(dǎo)者。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文