调查：70%的公司为了更快的业务创新而牺牲安全

安全人员讨厌威胁优先级，IT人员讨厌合规审计，两者都共同讨厌补丁管理。

经过几十年的发展，现如今的IT环境已经变得越来越复杂，不同的机构为了实现某些特定目的，在基础设施之上开发了各种各样的功能和应用，而且这些功能和应用彼此之间往往是割裂的，并随着时间的过去，效率也越来越低。

面对这种现状，近几年来出现了重新整合这些彼此割裂功能的趋势，如面向开发的DevOps，面向网络的NetOps，面向安全的SecOps，甚至还有更细分的DevSecOps，所有这些xOps的目的都是为了通过IT运营更好的整合，以提升速度、敏捷和效率。实际上，大多数的xOps还是很成功的。但xOps的问题在于，其所能达到效率的程度完全取决于这些功能与IT运营的整合是否成功，而且不同的场景面临的问题也不一样。

近期自动化技术公司SaltSatck发布了一系列的xOps状况调查，首当其冲的就是SecOps（SecOps与DevSecOps有所不同，前者是指整体的安全，后者则是指把安全嵌入新应用的开发阶段，避免部署之后再做安全加固）。Gartner曾预测到2020年，有99%的漏洞利用是安全人员和IT人员已经的漏洞。而SecOps的报告则显示，“许多入侵事件都是由于系统配置错误、未打补丁、已知漏洞，数据泄露和入侵的最为普遍的原因。”

这种结果意味着IT团队和安全团队之间缺乏足够的沟通。“只有54%的安全负责人认为可以与IT人员有效沟通，IT人员的比例更低，只有45%。”虽然双方都同意，数据保护工作应该放在创新、市场和成本的前面。可现实情况却是，只有30%的人认为实际工作中也是数据保护优先，却有70%的人表示公司为了更快的创新会牺牲数据安全。原因很复杂，包括来自上层的压力，自我驱动的压力，以及安全与IT团队的冲突等。

“IT人员的工作是实现快速创新并将新的产品推向市场，同时保证基础设施的可靠性。安全人员的任务则是识别安全漏洞和满足合规问题。两者之间存在安全责任共享的裂缝。”

也就是说如果缺乏跨部门的工作流程，两者之间的协同裂缝会被进一步放大。调查结果也支持了这一观点，“当实现了跨部门功能的合作和自动化工具的使用时，认为IT与安全沟通是有效的受访人员四倍于反之。”

解决创新与安全两者之间的关键在于，自动化工具的使用与跨部门的协作，才能形成一个即安全又创新的数字化业务。

报告下载：

https://get.saltstack.com/rs/304-PHQ-615/images/State-of-XOps-Report-Q2-2020-SecOps.pdf

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。