Ivanti從(cóng)2022年10月開(kāi)始,調研了(le)包括中國在内的全球超過6500名管理(lǐ)層領導、網絡安全專業人員和(hé)辦公人員。我們研究的目标是:了(le)解企業當今面臨的網絡威脅,并從(cóng)安全專業人員以及行政領導和(hé)所有其他(tā)辦公人員的不同視(shì)角,分析并研究企業是否已經爲未來(lái)可預見的各種網絡威脅和(hé)攻擊做好(hǎo)正确和(hé)恰當的準備。
- 網絡安全業内人士認爲2023年的首要威脅是什(shén)麽?
- 企業準備應對(duì)哪些(xiē)已知(zhī)和(hé)未知(zhī)的網絡攻擊?
- 我們調查的專業人士認爲,網絡釣魚、勒索軟件和(hé)軟件漏洞是行業層面的首要威脅。當比較公司所經曆的實際攻擊時(shí),網絡釣魚和(hé)軟件漏洞以數倍的速度超過了(le)其他(tā)風(fēng)險。
- 盡管威脅多種多樣,但(dàn)很(hěn)大(dà)一部分受訪者表示,他(tā)們已經準備好(hǎo)應對(duì)日益增長的威脅形勢。大(dà)約有一半的人說他(tā)們 "非常準備好(hǎo) "面對(duì)各種威脅--包括勒索軟件、不良加密、軟件漏洞和(hé)内部員工(gōng)風(fēng)險。
- 新的熱點--供應鏈的脆弱性。隻有42%的人說他(tā)們爲防範供應鏈威脅做了(le)很(hěn)好(hǎo)的準備,盡管46%的人稱其爲高(gāo)級威脅;但(dàn)是,面對(duì)此類風(fēng)險,企業的準備程度明(míng)顯滞後于威脅本身的程度。
網絡安全預算(suàn)不斷增長,以應對(duì)更大(dà)、更具破壞性的威脅
2023年的平均預算(suàn)增長預計(jì)爲11%--遠高(gāo)于同期的預計(jì)通脹水(shuǐ)平
在我們調查的安全專家和(hé)領導人中,71%的企業預測2023年他(tā)們的網絡安全預算(suàn)會(huì)增加--平均來(lái)說,會(huì)增加11%。根據人力資源管理(lǐ)協會(huì)的數據,這(zhè)大(dà)約是2023年預期預算(suàn)增長的三倍。
同時(shí),"人才短缺 "是最大(dà)的挑戰,39%的受訪企業提到(dào)了(le)這(zhè)一點。這(zhè)也(yě)印證了(le)許多其他(tā)研究的結果,包括ISC2最近的一份報(bào)告,發現(xiàn)2022年全球網絡安全勞動力的短缺比2021年增加了(le)26.2%,全球亟需增加340萬專業網絡安全人員才能(néng)有效保護企業資産。
- 幾乎所有的人都說他(tā)們有一個正式的IAM流程,大(dà)多數人(68%)說離職員工(gōng)的賬戶凍結或注銷流程是在三個工(gōng)作(zuò)日内完成的。(對(duì)于外(wài)部供應商,81%的人說這(zhè)個過程發生在5個工(gōng)作(zuò)日内)。
- 更爲突出的是。45%的受訪者表示,他(tā)們懷疑前雇員和(hé)承包商仍有對(duì)公司系統和(hé)文(wén)件的有效訪問權--無論是因爲沒有正确地遵循賬戶管理(lǐ)流程指南,還是因爲第三方應用(yòng)程序在證書失效後仍提供隐藏的訪問權。
- "大(dà)型企業往往沒有考慮到(dào)應用(yòng)程序、平台和(hé)第三方服務的巨大(dà)生态系統,它們在雇員離職後仍授予訪問權,"Ivanti首席産品官Srinivas Mukkamala博士說。我們把這(zhè)些(xiē)稱爲 "僵屍證書",大(dà)量的安全專業人員--甚至是領導層--仍然可以訪問前雇主的系統和(hé)數據,令人震驚。
六、基于雲的風(fēng)險被誇大(dà)了(le)?
- 超過三分之二(68%)的人說他(tā)們的系統由于采用(yòng)了(le)基于雲的系統和(hé)/或存儲而變得更加安全
- 換句話(huà)說,盡管人們誤認爲基于雲的系統使公司面臨高(gāo)于可接受的網絡安全風(fēng)險,但(dàn)我們調查的高(gāo)管和(hé)安全專家在權衡風(fēng)險和(hé)機會(huì)後認爲基于雲的環境提供了(le)更大(dà)的安全性。
- "确保積極和(hé)安全的數字員工(gōng)體驗是現(xiàn)代IT的新基石,"Pure Storage首席技術官AndyStone說。"通過安全有效地利用(yòng)雲,企業可以讓員工(gōng)在任何地方和(hé)任何設備上(shàng)工(gōng)作(zuò)。在這(zhè)個數字化世界裏,如果不能(néng)實現(xiàn)向雲計(jì)算(suàn)的安全進化,将在很(hěn)大(dà)程度上(shàng)阻礙公司的發展。"
- 鲸魚網絡釣魚是指網絡威脅使用(yòng)定制的網絡釣魚技術來(lái)追逐 "鲸魚"--重要的、高(gāo)價值的目标,如首席執行官等企業高(gāo)層。
- 一旦“鲸魚”被攻破,攻擊者可以獲得敏感信息,授權電彙。成功的網絡釣鲸活動比傳統的網絡釣魚企圖要大(dà)得多,但(dàn)許多組織仍然沒有将其作(zuò)爲一種獨特的、重大(dà)的威脅來(lái)對(duì)待。
- 與我們調查的其他(tā)員工(gōng)相比,近九成的領導(如首席執行官、副總裁和(hé)董事(shì))表示,他(tā)們已經準備好(hǎo)識别和(hé)報(bào)告工(gōng)作(zuò)中的惡意軟件和(hé)網絡釣魚等威脅。而且,他(tā)們更有可能(néng)已經聯系了(le)安全團隊,提出了(le)問題或擔憂。
- 這(zhè)些(xiē)都是好(hǎo)迹象;然而,我們的研究表明(míng),領導者更可能(néng)報(bào)告與安全團隊的負面互動,他(tā)們的誤報(bào)率較高(gāo)。此外(wài),組織領導人的日常習慣是更令人擔憂的一件事(shì)情。
探究與思考:
- 企業網絡安全狀況是否真的如此糟糕?以至于20%的CISO不願意用(yòng)一塊Kit Kat®巧克力棒--大(dà)約2美(měi)元--來(lái)賭他(tā)們的網絡安全狀況?
- 當一個組織雇用(yòng)了(le)正确的人員,購買了(le)正确的技術,采用(yòng)了(le)所有正确的流程和(hé)程序--但(dàn)卻不願意對(duì)他(tā)們的IT安全進行簡單的承諾時(shí),到(dào)底出了(le)什(shén)麽問題?
- 在我們的網絡安全準備狀況研究系列中,我們調查了(le)超過6550名專業人員,以更好(hǎo)地了(le)解組織所面臨的嚴重障礙--從(cóng)新出現(xiàn)的網絡安全威脅和(hé)緊張的預算(suàn),到(dào)組織用(yòng)于保護的技術和(hé)流程的層次。此外(wài),我們還從(cóng)3個角度--公司領導層、安全專業人員和(hé)知(zhī)識工(gōng)作(zuò)者--來(lái)看(kàn)待這(zhè)個問題。
- 我們的目标是:弄清楚爲什(shén)麽安全領導層既對(duì)自(zì)己的準備工(gōng)作(zuò)持樂觀态度(他(tā)們确實如此),但(dàn)又不願意用(yòng)Kit Kat®棒來(lái)做賭注--以及他(tā)們如何能(néng)夠重新制定有效、主動的網絡安全戰略和(hé)實踐。
