安全从业人员都知道，根据各种安全扫描工具的结果修复风险是件极为繁琐的多步骤劳动密集型工作，需要专注去重、排列优先级和将问题交付公司里恰当的“问题解决人员”。安全团队已然人手不足，再背上这种负担，就更别谈什么效率了。

　　近期，网络安全和生产力平台Seemplicity委托知名网络安全新闻网站Dark Reading进行了一项调研，给安全专业人员如何处理从发现问题到解决问题这一修复生命周期中的种种挑战带来了一些新的见解。研究揭示了安全人员在协调修复活动时面临的一些阻碍，也暴露出了修复时间过长、人工流程低效无序、整个风险生命周期中缺乏管理可见性和监督所造成的工作量增加和风险态势削弱的后果。

分步修复流程及各步骤耗时

　　调研囊括了108位网络安全专业人员，均来自员工人数不低于100人的中型企业。调研发现：

　　• 如果能够高效修复，97%的安全专业人员会专注于主动安全任务。受访者称，如果有更好更快的方法修复风险，他们会把赢得的时间花在前瞻性活动上，比如额外的架构审查、威胁建模和安全意识培训。

　　若说研究中有什么主题是重复出现的，那就是大多数企业不同团队间安全工具和手动任务过多阻碍了降低风险和修复工作的步伐。

　　这项研究专注“风险修复状况”，为提高修复效率、增强组织防御、降低风险和维持安全团队正常运转提供了路线图。

　　报告还强调了改善风险降低工作的三个关键步骤：

调研报告《2023年风险降低状况：需要速度》
https://seemplicity.io/papers/the-2023-state-of-risk-reduction-a-need-for-speed/

— 【 THE END 】—