2023全球網絡安全調研報告
發布時(shí)間(jiān):2023-06-22 閱讀: 分享

2023 我們準備好了嗎?       


  

Ivanti從2022年10月開(kāi)始,調研了包括中國在內(nèi)的全球超過6500名管理(lǐ)層領導、網絡安全專業人(rén)員和(hé)辦公人(rén)員。我們研究的目标是:了解企業當今面臨的網絡威脅,并從安全專業人(rén)員以及行(xíng)政領導和(hé)所有(yǒu)其他辦公人(rén)員的不同視(shì)角,分析并研究企業是否已經為(wèi)未來(lái)可(kě)預見的各種網絡威脅和(hé)攻擊做(zuò)好正确和(hé)恰當的準備。


圖片


   

一、2023網絡安全熱點            


  • 網絡安全業內(nèi)人(rén)士認為(wèi)2023年的首要威脅是什麽?
  • 企業準備應對哪些(xiē)已知和(hé)未知的網絡攻擊?
  • 我們調查的專業人(rén)士認為(wèi),網絡釣魚、勒索軟件和(hé)軟件漏洞是行(xíng)業層面的首要威脅。當比較公司所經曆的實際攻擊時(shí),網絡釣魚和(hé)軟件漏洞以數(shù)倍的速度超過了其他風險。
  • 盡管威脅多(duō)種多(duō)樣,但(dàn)很(hěn)大(dà)一部分受訪者表示,他們已經準備好應對日益增長的威脅形勢。大(dà)約有(yǒu)一半的人(rén)說他們 "非常準備好 "面對各種威脅--包括勒索軟件、不良加密、軟件漏洞和(hé)內(nèi)部員工風險
  • 新的熱點--供應鏈的脆弱性。隻有(yǒu)42%的人(rén)說他們為(wèi)防範供應鏈威脅做(zuò)了很(hěn)好的準備,盡管46%的人(rén)稱其為(wèi)高(gāo)級威脅;但(dàn)是,面對此類風險,企業的準備程度明(míng)顯滞後于威脅本身的程度。

       圖片


   

二、2023網絡安全預算(suàn)趨勢            


  • 網絡安全預算(suàn)不斷增長,以應對更大(dà)、更具破壞性的威脅

  • 2023年的平均預算(suàn)增長預計(jì)為(wèi)11%--遠高(gāo)于同期的預計(jì)通(tōng)脹水(shuǐ)平

  • 在我們調查的安全專家(jiā)和(hé)領導人(rén)中,71%的企業預測2023年他們的網絡安全預算(suàn)會(huì)增加--平均來(lái)說,會(huì)增加11%。根據人(rén)力資源管理(lǐ)協會(huì)的數(shù)據,這大(dà)約是2023年預期預算(suàn)增長的三倍。

  • 同時(shí),"人(rén)才短(duǎn)缺 "是最大(dà)的挑戰,39%的受訪企業提到了這一點。這也印證了許多(duō)其他研究的結果,包括ISC2最近的一份報告,發現2022年全球網絡安全勞動力的短(duǎn)缺比2021年增加了26.2%,全球亟需增加340萬專業網絡安全人(rén)員才能有(yǒu)效保護企業資産。

               圖片

   

三、身份和(hé)訪問管理(lǐ)流程           


  • 幾乎所有(yǒu)的人(rén)都說他們有(yǒu)一個(gè)正式的IAM流程,大(dà)多(duō)數(shù)人(rén)(68%)說離職員工的賬戶凍結或注銷流程是在三個(gè)工作(zuò)日內(nèi)完成的。(對于外部供應商,81%的人(rén)說這個(gè)過程發生(shēng)在5個(gè)工作(zuò)日內(nèi))。
  • 更為(wèi)突出的是。45%的受訪者表示,他們懷疑前雇員和(hé)承包商仍有(yǒu)對公司系統和(hé)文件的有(yǒu)效訪問權--無論是因為(wèi)沒有(yǒu)正确地遵循賬戶管理(lǐ)流程指南,還(hái)是因為(wèi)第三方應用程序在證書(shū)失效後仍提供隐藏的訪問權。
  • "大(dà)型企業往往沒有(yǒu)考慮到應用程序、平台和(hé)第三方服務的巨大(dà)生(shēng)态系統,它們在雇員離職後仍授予訪問權,"Ivanti首席産品官Srinivas Mukkamala博士說。我們把這些(xiē)稱為(wèi) "僵屍證書(shū)",大(dà)量的安全專業人(rén)員--甚至是領導層--仍然可(kě)以訪問前雇主的系統和(hé)數(shù)據,令人(rén)震驚。


圖片


   

四、漏洞風險優先級排序                       


  • 當每個(gè)補丁都是高(gāo)優先級時(shí),等于沒有(yǒu)補丁是優先的

  • 補丁管理(lǐ)被 “一切都很(hěn)緊急”的心态所困擾

  • 92%的人(rén)當被問及哪些(xiē)類型的補丁被優先考慮時(shí)回答(dá):安全專家(jiā)告訴我們,所有(yǒu)類型的補丁都排名靠前--也就是說--沒有(yǒu)一個(gè)補丁是“真正優先”的。

圖片


   
五、供應鏈安全越來(lái)越受到關注       

  • 企業數(shù)字化轉型--以及來(lái)自高(gāo)度互聯的供應鏈的所有(yǒu)效率--帶來(lái)了巨大(dà)的供應鏈風險。

  • 由于今天的供應鏈是高(gāo)度互聯的,對一個(gè)合作(zuò)夥伴(例如第三供應商)的威脅構成對整個(gè)供應鏈的威脅。CISO和(hé)他們的安全組織正在急于識别和(hé)加固供應鏈的漏洞,但(dàn)大(dà)多(duō)數(shù)仍然嚴重滞後。
  • 在Ivanti的研究中,不到一半的人(rén)(47%)表示他們能夠确認軟件供應鏈中最脆弱的第三方系統和(hé)組件,35%的人(rén)計(jì)劃在未來(lái)12個(gè)月內(nèi)解決這一風險,46%的企業将2023年的供應鏈威脅評為(wèi) "高(gāo) "或 "關鍵"。


圖片


   
六、基于雲的風險被誇大(dà)了? 


  • 超過三分之二(68%)的人(rén)說他們的系統由于采用了基于雲的系統和(hé)/或存儲而變得(de)更加安全
  • 換句話(huà)說,盡管人(rén)們誤認為(wèi)基于雲的系統使公司面臨高(gāo)于可(kě)接受的網絡安全風險,但(dàn)我們調查的高(gāo)管和(hé)安全專家(jiā)在權衡風險和(hé)機會(huì)後認為(wèi)基于雲的環境提供了更大(dà)的安全性。
  • "确保積極和(hé)安全的數(shù)字員工體(tǐ)驗是現代IT的新基石,"Pure Storage首席技(jì)術(shù)官AndyStone說。"通(tōng)過安全有(yǒu)效地利用雲,企業可(kě)以讓員工在任何地方和(hé)任何設備上(shàng)工作(zuò)。在這個(gè)數(shù)字化世界裏,如果不能實現向雲計(jì)算(suàn)的安全進化,将在很(hěn)大(dà)程度上(shàng)阻礙公司的發展。"

圖片


   

七、企業高(gāo)層--網絡釣鲸的趨勢                   


  • 鲸魚網絡釣魚是指網絡威脅使用定制(zhì)的網絡釣魚技(jì)術(shù)來(lái)追逐 "鲸魚"--重要的、高(gāo)價值的目标,如首席執行(xíng)官等企業高(gāo)層。
  • 一旦“鲸魚”被攻破,攻擊者可(kě)以獲得(de)敏感信息,授權電(diàn)彙。成功的網絡釣鲸活動比傳統的網絡釣魚企圖要大(dà)得(de)多(duō),但(dàn)許多(duō)組織仍然沒有(yǒu)将其作(zuò)為(wèi)一種獨特的、重大(dà)的威脅來(lái)對待。
  • 與我們調查的其他員工相比,近九成的領導(如首席執行(xíng)官、副總裁和(hé)董事)表示,他們已經準備好識别和(hé)報告工作(zuò)中的惡意軟件和(hé)網絡釣魚等威脅。而且,他們更有(yǒu)可(kě)能已經聯系了安全團隊,提出了問題或擔憂。
  • 這些(xiē)都是好迹象;然而,我們的研究表明(míng),領導者更可(kě)能報告與安全團隊的負面互動,他們的誤報率較高(gāo)。此外,組織領導人(rén)的日常習慣是更令人(rén)擔憂的一件事情。

圖片


探究與思考:


  • 企業網絡安全狀況是否真的如此糟糕?以至于20%的CISO不願意用一塊Kit Kat®巧克力棒--大(dà)約2美元--來(lái)賭他們的網絡安全狀況?
  • 當一個(gè)組織雇用了正确的人(rén)員,購買了正确的技(jì)術(shù),采用了所有(yǒu)正确的流程和(hé)程序--但(dàn)卻不願意對他們的IT安全進行(xíng)簡單的承諾時(shí),到底出了什麽問題?
  • 在我們的網絡安全準備狀況研究系列中,我們調查了超過6550名專業人(rén)員,以更好地了解組織所面臨的嚴重障礙--從新出現的網絡安全威脅和(hé)緊張的預算(suàn),到組織用于保護的技(jì)術(shù)和(hé)流程的層次。此外,我們還(hái)從3個(gè)角度--公司領導層、安全專業人(rén)員和(hé)知識工作(zuò)者--來(lái)看待這個(gè)問題。
  • 我們的目标是:弄清楚為(wèi)什麽安全領導層既對自己的準備工作(zuò)持樂觀态度(他們确實如此),但(dàn)又不願意用Kit Kat®棒來(lái)做(zuò)賭注--以及他們如何能夠重新制(zhì)定有(yǒu)效、主動的網絡安全戰略和(hé)實踐。



13905190502 南京市玄武區(qū)洪武北路188号長發數(shù)碼大(dà)廈11樓E座
友(yǒu)情鏈接
百度 網絡安全和(hé)信息化委員會(huì) FreeBuf網絡安全行(xíng)業門(mén)戶

分享:
Copyright © 2020-2022 南京斯萊克斯網絡科技有限公司 版權所有(yǒu)  
技(jì)術(shù)支持:飛酷網絡