一項新的問卷調(diào)查發(fā)現(xiàn)，安全廠商炒作安全威脅以使得用戶對其安全平臺產(chǎn)生興趣的做法，最終可能會長久地?fù)p害自己的聲譽(yù)，夸大的做法也可能會令企業(yè)作出令人失望的科技投資。調(diào)查報告指，一味的浮夸可能會令客戶購入一些令人失望的技術(shù)。 

Ponemon研究所在調(diào)查了15個國家里4,881名IT及IT安全從業(yè)人員后發(fā)現(xiàn)，一些廠商往往夸大企業(yè)面臨的各類威脅的嚴(yán)重性，目的是想讓企業(yè)覺得如果他們不購買新的安全保護(hù)技術(shù)則會面臨大風(fēng)險。百分之五十八的受訪者認(rèn)為，安全解決方案供應(yīng)商在炒作企業(yè)面臨的威脅和風(fēng)險。他們表示，炒作可能有助于公司騰出預(yù)算資金用于投資新技術(shù)，但幾乎一半（47％）的受訪者認(rèn)為，他們公司經(jīng)常、或十分經(jīng)常買進(jìn)一些令人失望的安全解決方案。

根據(jù)Ponemon的這項研究，對企業(yè)部門更有益的做法是系統(tǒng)地評估供應(yīng)商的技術(shù)。僅僅因為對風(fēng)險的擔(dān)憂而買入技術(shù)的做法會導(dǎo)致企業(yè)部門在進(jìn)行風(fēng)險評估時不夠周到，在估算管理新系統(tǒng)所需要的附加人員時也會出錯。即便是在不購入新技術(shù)的前提下，那些新出現(xiàn)的威脅的潛在風(fēng)險也是可以大大降低的。

該項研究報告給出的做法是，針對完整的殺傷鏈模型評估安全解決方案的能力和部署，以消除不足的地方和盡量減少過多的重疊；對在“惡意軟件交付階段”確認(rèn)的攻擊進(jìn)行防御，但不能完全依賴此類防御，還需要對此類防御做進(jìn)一步擴(kuò)展。

調(diào)查結(jié)果顯示，受訪者最為擔(dān)心是用于竊取數(shù)據(jù)的高級持續(xù)性威脅和攻擊。網(wǎng)站遭黑客破解、目的是關(guān)閉關(guān)鍵業(yè)務(wù)系統(tǒng)的分布式拒絕服務(wù)攻擊及數(shù)據(jù)外泄等也是受訪者擔(dān)心的首要問題。

該調(diào)查報告的題目為“全球網(wǎng)絡(luò)安全啟示錄”，報告分為兩大部分，研究是由安全廠商Websense贊助的。Ponemon的研究發(fā)現(xiàn)，購買安全技術(shù)的決策受到一些長期存在的問題的負(fù)面影響。IT安全專業(yè)人士表示，他們很少找行政管理層表達(dá)意見，擔(dān)心長時間宕機(jī)（Shutdown，停機(jī)；down機(jī)）會對用戶造成不便，他們無可奈何地覺得只有在發(fā)生嚴(yán)重安全事故以后才能拿得到新項目的資金。

什么時候一個部門才會發(fā)飆換掉一個安全廠商的產(chǎn)品呢？該份研究報告指，宕機(jī)時間、部署困難或是用戶界面等是觸發(fā)更換安全廠商的最大因素。受訪者的回應(yīng)結(jié)果表明，預(yù)算出現(xiàn)變化時有時候也會騰出資金來購買新的安全平臺，另外，發(fā)生數(shù)據(jù)泄漏事故后，企業(yè)組織被迫會花錢強(qiáng)化系統(tǒng)和其他安全措施。

該研究還發(fā)現(xiàn)受訪者對公司里的安全系統(tǒng)的有效性并不確定。44%的受訪者表示，公司的安全解決方案沒有提供公司遭受的網(wǎng)絡(luò)攻擊和潛在后果的足夠資料給他們。同樣，該研究還發(fā)現(xiàn)，那些用于檢測惡意軟件感染的技術(shù)往往找不到攻擊的根本原因。

解決方案提供商告訴記者，報告里的結(jié)果沒什么令人驚訝的。他們表示，利用先進(jìn)威脅達(dá)到恐嚇的戰(zhàn)術(shù)很少能撼動中小型企業(yè)老板，無以令他們花錢購買新的安全技術(shù)。

Eden Technologies是一家總部位于紐約的安全咨詢和解決方案提供商。Eden Technologies的安全事務(wù)主管Andrew Sherman表示，通過炒作威脅推銷安全技術(shù)的做法是錯誤的，完全無助于與客戶建立信任關(guān)系。

Sherman稱，不能全面控制、不能保證足夠的預(yù)防措施，這些問題總是存在的。他表示，如果企業(yè)部門能明智地在控制用戶訪問、監(jiān)控關(guān)鍵流程和解決配置問題和軟件漏洞方面花錢，許多來自先進(jìn)威脅所造成的風(fēng)險就會大大減少。

Sherman表示，“有人寫帶漏洞的軟件，我們就建了些越來越復(fù)雜的安全環(huán)境對付這事。有一點在一定程度上頗有些令人沮喪，攻擊者往往重復(fù)使用一些相對成熟的威脅技術(shù)，卻仍然能從中獲得極大的成功。”

Digital Defense是一家總部設(shè)在美國圣安東尼奧的數(shù)字防御供應(yīng)商，專門從事企業(yè)網(wǎng)絡(luò)的風(fēng)險評估。Digital Defense的研發(fā)副總裁Mike Cotton表示，規(guī)范條例是影響到安全投資決策的一個主要因素。許多部門現(xiàn)在已經(jīng)不是像過去一樣草草地檢查一些諸如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS）的指引了，他們已經(jīng)成熟，開始著眼顛覆性的技術(shù)，如采用云計算、移動和虛擬化。

Cotton在最近的一次采訪中表示，“成本永遠(yuǎn)是一個主要因素，但我們也見到對部署風(fēng)險的關(guān)注，原因是人們擔(dān)心一些導(dǎo)致混亂或系統(tǒng)中斷的活動，即便只是在很短的時間之內(nèi)出現(xiàn)。”