Ivanti從2022年(nián)10月開始,調研了包括中國在內(nèi)的(de)全球超過6500名管理(lǐ)層領導、網絡安全專業人員和(hé)辦公人員。我們研究的(de)目标是:了解企業當今面臨的(de)網絡威脅,并從安全專業人員以及行政領導和(hé)所有其他辦公人員的(de)不同視(shì)角,分析并研究企業是否已經為(wèi)未來可(kě)預見的(de)各種網絡威脅和(hé)攻擊做(zuò)好正确和(hé)恰當的(de)準備。
- 網絡安全業內(nèi)人士認為(wèi)2023年(nián)的(de)首要威脅是什麽?
- 企業準備應對哪些已知和(hé)未知的(de)網絡攻擊?
- 我們調查的(de)專業人士認為(wèi),網絡釣魚、勒索軟件和(hé)軟件漏洞是行業層面的(de)首要威脅。當比較公司所經曆的(de)實際攻擊時,網絡釣魚和(hé)軟件漏洞以數倍的(de)速度超過了其他風險。
- 盡管威脅多種多樣,但很大一(yī)部分受訪者表示,他們已經準備好應對日益增長(cháng)的(de)威脅形勢。大約有一(yī)半的(de)人說他們 "非常準備好 "面對各種威脅--包括勒索軟件、不良加密、軟件漏洞和(hé)內(nèi)部員工風險。
- 新的(de)熱點--供應鏈的(de)脆弱性。隻有42%的(de)人說他們為(wèi)防範供應鏈威脅做(zuò)了很好的(de)準備,盡管46%的(de)人稱其為(wèi)高(gāo)級威脅;但是,面對此類風險,企業的(de)準備程度明顯滞後于威脅本身的(de)程度。
網絡安全預算不斷增長(cháng),以應對更大、更具破壞性的(de)威脅
2023年(nián)的(de)平均預算增長(cháng)預計為(wèi)11%--遠高(gāo)于同期的(de)預計通脹水平
在我們調查的(de)安全專家和(hé)領導人中,71%的(de)企業預測2023年(nián)他們的(de)網絡安全預算會增加--平均來說,會增加11%。根據人力資源管理(lǐ)協會的(de)數據,這大約是2023年(nián)預期預算增長(cháng)的(de)三倍。
同時,"人才短(duǎn)缺 "是最大的(de)挑戰,39%的(de)受訪企業提到了這一(yī)點。這也印證了許多其他研究的(de)結果,包括ISC2最近的(de)一(yī)份報告,發現2022年(nián)全球網絡安全勞動力的(de)短(duǎn)缺比2021年(nián)增加了26.2%,全球亟需增加340萬專業網絡安全人員才能有效保護企業資産。
- 幾乎所有的(de)人都說他們有一(yī)個正式的(de)IAM流程,大多數人(68%)說離(lí)職員工的(de)賬戶凍結或注銷流程是在三個工作日內(nèi)完成的(de)。(對于外部供應商,81%的(de)人說這個過程發生在5個工作日內(nèi))。
- 更為(wèi)突出的(de)是。45%的(de)受訪者表示,他們懷疑前雇員和(hé)承包商仍有對公司系統和(hé)文件的(de)有效訪問權--無論是因為(wèi)沒有正确地(dì)遵循賬戶管理(lǐ)流程指南,還是因為(wèi)第三方應用程序在證書失效後仍提供隐藏的(de)訪問權。
- "大型企業往往沒有考慮到應用程序、平台和(hé)第三方服務的(de)巨大生态系統,它們在雇員離(lí)職後仍授予訪問權,"Ivanti首席産品官Srinivas Mukkamala博士說。我們把這些稱為(wèi) "僵屍證書",大量的(de)安全專業人員--甚至是領導層--仍然可(kě)以訪問前雇主的(de)系統和(hé)數據,令人震驚。
- 超過三分之二(68%)的(de)人說他們的(de)系統由于采用了基于雲的(de)系統和(hé)/或存儲而變得更加安全
- 換句話說,盡管人們誤認為(wèi)基于雲的(de)系統使公司面臨高(gāo)于可(kě)接受的(de)網絡安全風險,但我們調查的(de)高(gāo)管和(hé)安全專家在權衡風險和(hé)機會後認為(wèi)基于雲的(de)環境提供了更大的(de)安全性。
- "确保積極和(hé)安全的(de)數字員工體驗是現代IT的(de)新基石,"Pure Storage首席技術官AndyStone說。"通過安全有效地(dì)利用雲,企業可(kě)以讓員工在任何地(dì)方和(hé)任何設備上工作。在這個數字化世界裏,如(rú)果不能實現向雲計算的(de)安全進化,将在很大程度上阻礙公司的(de)發展。"
- 鲸魚網絡釣魚是指網絡威脅使用定制的(de)網絡釣魚技術來追逐 "鲸魚"--重要的(de)、高(gāo)價值的(de)目标,如(rú)首席執行官等企業高(gāo)層。
- 一(yī)旦“鲸魚”被攻破,攻擊者可(kě)以獲得敏感信息,授權電彙。成功的(de)網絡釣鲸活動比傳統的(de)網絡釣魚企圖要大得多,但許多組織仍然沒有将其作為(wèi)一(yī)種獨特的(de)、重大的(de)威脅來對待。
- 與我們調查的(de)其他員工相比,近九成的(de)領導(如(rú)首席執行官、副總裁和(hé)董事)表示,他們已經準備好識别和(hé)報告工作中的(de)惡意軟件和(hé)網絡釣魚等威脅。而且,他們更有可(kě)能已經聯系了安全團隊,提出了問題或擔憂。
- 這些都是好迹象;然而,我們的(de)研究表明,領導者更可(kě)能報告與安全團隊的(de)負面互動,他們的(de)誤報率較高(gāo)。此外,組織領導人的(de)日常習慣是更令人擔憂的(de)一(yī)件事情。
探究與思考:
- 企業網絡安全狀況是否真的(de)如(rú)此糟糕?以至于20%的(de)CISO不願意用一(yī)塊Kit Kat®巧克力棒--大約2美元--來賭他們的(de)網絡安全狀況?
- 當一(yī)個組織雇用了正确的(de)人員,購買了正确的(de)技術,采用了所有正确的(de)流程和(hé)程序--但卻不願意對他們的(de)IT安全進行簡單的(de)承諾時,到底出了什麽問題?
- 在我們的(de)網絡安全準備狀況研究系列中,我們調查了超過6550名專業人員,以更好地(dì)了解組織所面臨的(de)嚴重障礙--從新出現的(de)網絡安全威脅和(hé)緊張的(de)預算,到組織用于保護的(de)技術和(hé)流程的(de)層次。此外,我們還從3個角度--公司領導層、安全專業人員和(hé)知識工作者--來看待這個問題。
- 我們的(de)目标是:弄清楚為(wèi)什麽安全領導層既對自(zì)己的(de)準備工作持樂(yuè)觀态度(他們确實如(rú)此),但又不願意用Kit Kat®棒來做(zuò)賭注--以及他們如(rú)何能夠重新制定有效、主動的(de)網絡安全戰略和(hé)實踐。
