Ivanti從2022年10月開(kāi)始,調研了包括中國在內(nèi)的全球超過6500名管理(lǐ)層領導、網絡安全專業人(rén)員和(hé)辦公人(rén)員。我們研究的目标是:了解企業當今面臨的網絡威脅,并從安全專業人(rén)員以及行(xíng)政領導和(hé)所有(yǒu)其他辦公人(rén)員的不同視(shì)角,分析并研究企業是否已經為(wèi)未來(lái)可(kě)預見的各種網絡威脅和(hé)攻擊做(zuò)好正确和(hé)恰當的準備。
- 網絡安全業內(nèi)人(rén)士認為(wèi)2023年的首要威脅是什麽?
- 企業準備應對哪些(xiē)已知和(hé)未知的網絡攻擊?
- 我們調查的專業人(rén)士認為(wèi),網絡釣魚、勒索軟件和(hé)軟件漏洞是行(xíng)業層面的首要威脅。當比較公司所經曆的實際攻擊時(shí),網絡釣魚和(hé)軟件漏洞以數(shù)倍的速度超過了其他風險。
- 盡管威脅多(duō)種多(duō)樣,但(dàn)很(hěn)大(dà)一部分受訪者表示,他們已經準備好應對日益增長的威脅形勢。大(dà)約有(yǒu)一半的人(rén)說他們 "非常準備好 "面對各種威脅--包括勒索軟件、不良加密、軟件漏洞和(hé)內(nèi)部員工風險。
- 新的熱點--供應鏈的脆弱性。隻有(yǒu)42%的人(rén)說他們為(wèi)防範供應鏈威脅做(zuò)了很(hěn)好的準備,盡管46%的人(rén)稱其為(wèi)高(gāo)級威脅;但(dàn)是,面對此類風險,企業的準備程度明(míng)顯滞後于威脅本身的程度。
網絡安全預算(suàn)不斷增長,以應對更大(dà)、更具破壞性的威脅
2023年的平均預算(suàn)增長預計(jì)為(wèi)11%--遠高(gāo)于同期的預計(jì)通(tōng)脹水(shuǐ)平
在我們調查的安全專家(jiā)和(hé)領導人(rén)中,71%的企業預測2023年他們的網絡安全預算(suàn)會(huì)增加--平均來(lái)說,會(huì)增加11%。根據人(rén)力資源管理(lǐ)協會(huì)的數(shù)據,這大(dà)約是2023年預期預算(suàn)增長的三倍。
同時(shí),"人(rén)才短(duǎn)缺 "是最大(dà)的挑戰,39%的受訪企業提到了這一點。這也印證了許多(duō)其他研究的結果,包括ISC2最近的一份報告,發現2022年全球網絡安全勞動力的短(duǎn)缺比2021年增加了26.2%,全球亟需增加340萬專業網絡安全人(rén)員才能有(yǒu)效保護企業資産。
- 幾乎所有(yǒu)的人(rén)都說他們有(yǒu)一個(gè)正式的IAM流程,大(dà)多(duō)數(shù)人(rén)(68%)說離職員工的賬戶凍結或注銷流程是在三個(gè)工作(zuò)日內(nèi)完成的。(對于外部供應商,81%的人(rén)說這個(gè)過程發生(shēng)在5個(gè)工作(zuò)日內(nèi))。
- 更為(wèi)突出的是。45%的受訪者表示,他們懷疑前雇員和(hé)承包商仍有(yǒu)對公司系統和(hé)文件的有(yǒu)效訪問權--無論是因為(wèi)沒有(yǒu)正确地遵循賬戶管理(lǐ)流程指南,還(hái)是因為(wèi)第三方應用程序在證書(shū)失效後仍提供隐藏的訪問權。
- "大(dà)型企業往往沒有(yǒu)考慮到應用程序、平台和(hé)第三方服務的巨大(dà)生(shēng)态系統,它們在雇員離職後仍授予訪問權,"Ivanti首席産品官Srinivas Mukkamala博士說。我們把這些(xiē)稱為(wèi) "僵屍證書(shū)",大(dà)量的安全專業人(rén)員--甚至是領導層--仍然可(kě)以訪問前雇主的系統和(hé)數(shù)據,令人(rén)震驚。
- 超過三分之二(68%)的人(rén)說他們的系統由于采用了基于雲的系統和(hé)/或存儲而變得(de)更加安全
- 換句話(huà)說,盡管人(rén)們誤認為(wèi)基于雲的系統使公司面臨高(gāo)于可(kě)接受的網絡安全風險,但(dàn)我們調查的高(gāo)管和(hé)安全專家(jiā)在權衡風險和(hé)機會(huì)後認為(wèi)基于雲的環境提供了更大(dà)的安全性。
- "确保積極和(hé)安全的數(shù)字員工體(tǐ)驗是現代IT的新基石,"Pure Storage首席技(jì)術(shù)官AndyStone說。"通(tōng)過安全有(yǒu)效地利用雲,企業可(kě)以讓員工在任何地方和(hé)任何設備上(shàng)工作(zuò)。在這個(gè)數(shù)字化世界裏,如果不能實現向雲計(jì)算(suàn)的安全進化,将在很(hěn)大(dà)程度上(shàng)阻礙公司的發展。"
- 鲸魚網絡釣魚是指網絡威脅使用定制(zhì)的網絡釣魚技(jì)術(shù)來(lái)追逐 "鲸魚"--重要的、高(gāo)價值的目标,如首席執行(xíng)官等企業高(gāo)層。
- 一旦“鲸魚”被攻破,攻擊者可(kě)以獲得(de)敏感信息,授權電(diàn)彙。成功的網絡釣鲸活動比傳統的網絡釣魚企圖要大(dà)得(de)多(duō),但(dàn)許多(duō)組織仍然沒有(yǒu)将其作(zuò)為(wèi)一種獨特的、重大(dà)的威脅來(lái)對待。
- 與我們調查的其他員工相比,近九成的領導(如首席執行(xíng)官、副總裁和(hé)董事)表示,他們已經準備好識别和(hé)報告工作(zuò)中的惡意軟件和(hé)網絡釣魚等威脅。而且,他們更有(yǒu)可(kě)能已經聯系了安全團隊,提出了問題或擔憂。
- 這些(xiē)都是好迹象;然而,我們的研究表明(míng),領導者更可(kě)能報告與安全團隊的負面互動,他們的誤報率較高(gāo)。此外,組織領導人(rén)的日常習慣是更令人(rén)擔憂的一件事情。
探究與思考:
- 企業網絡安全狀況是否真的如此糟糕?以至于20%的CISO不願意用一塊Kit Kat®巧克力棒--大(dà)約2美元--來(lái)賭他們的網絡安全狀況?
- 當一個(gè)組織雇用了正确的人(rén)員,購買了正确的技(jì)術(shù),采用了所有(yǒu)正确的流程和(hé)程序--但(dàn)卻不願意對他們的IT安全進行(xíng)簡單的承諾時(shí),到底出了什麽問題?
- 在我們的網絡安全準備狀況研究系列中,我們調查了超過6550名專業人(rén)員,以更好地了解組織所面臨的嚴重障礙--從新出現的網絡安全威脅和(hé)緊張的預算(suàn),到組織用于保護的技(jì)術(shù)和(hé)流程的層次。此外,我們還(hái)從3個(gè)角度--公司領導層、安全專業人(rén)員和(hé)知識工作(zuò)者--來(lái)看待這個(gè)問題。
- 我們的目标是:弄清楚為(wèi)什麽安全領導層既對自己的準備工作(zuò)持樂觀态度(他們确實如此),但(dàn)又不願意用Kit Kat®棒來(lái)做(zuò)賭注--以及他們如何能夠重新制(zhì)定有(yǒu)效、主動的網絡安全戰略和(hé)實踐。