Ivanti从2022年10月开始,调研了包括中(zhōng)國(guó)在内的全球超过6500名(míng)管理(lǐ)层领导、网络安(ān)全专业人员和办(bàn)公(gōng)人员。我们研究的目标是:了解企业当今面临的网络威胁,并从安(ān)全专业人员以及行政领导和所有(yǒu)其他(tā)办(bàn)公(gōng)人员的不同视角,分(fēn)析并研究企业是否已经為(wèi)未来可(kě)预见的各种网络威胁和攻击做好正确和恰当的准备。
- 网络安(ān)全业内人士认為(wèi)2023年的首要威胁是什么?
- 我们调查的专业人士认為(wèi),网络钓鱼、勒索软件和软件漏洞是行业层面的首要威胁。当比较公(gōng)司所经历的实际攻击时,网络钓鱼和软件漏洞以数倍的速度超过了其他(tā)风险。
- 尽管威胁多(duō)种多(duō)样,但很(hěn)大一部分(fēn)受访者表示,他(tā)们已经准备好应对日益增長(cháng)的威胁形势。大约有(yǒu)一半的人说他(tā)们 "非常准备好 "面对各种威胁--包括勒索软件、不良加密、软件漏洞和内部员工(gōng)风险。
- 新(xīn)的热点--供应链的脆弱性。只有(yǒu)42%的人说他(tā)们為(wèi)防范供应链威胁做了很(hěn)好的准备,尽管46%的人称其為(wèi)高级威胁;但是,面对此类风险,企业的准备程度明显滞后于威胁本身的程度。
网络安(ān)全预算不断增長(cháng),以应对更大、更具(jù)破坏性的威胁
2023年的平均预算增長(cháng)预计為(wèi)11%--遠(yuǎn)高于同期的预计通胀水平
在我们调查的安(ān)全专家和领导人中(zhōng),71%的企业预测2023年他(tā)们的网络安(ān)全预算会增加--平均来说,会增加11%。根据人力资源管理(lǐ)协会的数据,这大约是2023年预期预算增長(cháng)的三倍。
同时,"人才短缺 "是最大的挑战,39%的受访企业提到了这一点。这也印证了许多(duō)其他(tā)研究的结果,包括ISC2最近的一份报告,发现2022年全球网络安(ān)全劳动力的短缺比2021年增加了26.2%,全球亟需增加340万专业网络安(ān)全人员才能(néng)有(yǒu)效保护企业资产(chǎn)。
- 几乎所有(yǒu)的人都说他(tā)们有(yǒu)一个正式的IAM流程,大多(duō)数人(68%)说离职员工(gōng)的账户冻结或注销流程是在三个工(gōng)作(zuò)日内完成的。(对于外部供应商(shāng),81%的人说这个过程发生在5个工(gōng)作(zuò)日内)。
- 更為(wèi)突出的是。45%的受访者表示,他(tā)们怀疑前雇员和承包商(shāng)仍有(yǒu)对公(gōng)司系统和文(wén)件的有(yǒu)效访问权--无论是因為(wèi)没有(yǒu)正确地遵循账户管理(lǐ)流程指南,还是因為(wèi)第三方应用(yòng)程序在证书失效后仍提供隐藏的访问权。
- "大型企业往往没有(yǒu)考虑到应用(yòng)程序、平台和第三方服務(wù)的巨大生态系统,它们在雇员离职后仍授予访问权,"Ivanti首席产(chǎn)品官Srinivas Mukkamala博士说。我们把这些称為(wèi) "僵尸证书",大量的安(ān)全专业人员--甚至是领导层--仍然可(kě)以访问前雇主的系统和数据,令人震惊。
- 超过三分(fēn)之二(68%)的人说他(tā)们的系统由于采用(yòng)了基于云的系统和/或存储而变得更加安(ān)全
- 换句话说,尽管人们误认為(wèi)基于云的系统使公(gōng)司面临高于可(kě)接受的网络安(ān)全风险,但我们调查的高管和安(ān)全专家在权衡风险和机会后认為(wèi)基于云的环境提供了更大的安(ān)全性。
- "确保积极和安(ān)全的数字员工(gōng)體(tǐ)验是现代IT的新(xīn)基石,"Pure Storage首席技(jì )术官AndyStone说。"通过安(ān)全有(yǒu)效地利用(yòng)云,企业可(kě)以让员工(gōng)在任何地方和任何设备上工(gōng)作(zuò)。在这个数字化世界里,如果不能(néng)实现向云计算的安(ān)全进化,将在很(hěn)大程度上阻碍公(gōng)司的发展。"
- 鲸鱼网络钓鱼是指网络威胁使用(yòng)定制的网络钓鱼技(jì )术来追逐 "鲸鱼"--重要的、高价值的目标,如首席执行官等企业高层。
- 一旦“鲸鱼”被攻破,攻击者可(kě)以获得敏感信息,授权電(diàn)汇。成功的网络钓鲸活动比传统的网络钓鱼企图要大得多(duō),但许多(duō)组织仍然没有(yǒu)将其作(zuò)為(wèi)一种独特的、重大的威胁来对待。
- 与我们调查的其他(tā)员工(gōng)相比,近九成的领导(如首席执行官、副总裁和董事)表示,他(tā)们已经准备好识别和报告工(gōng)作(zuò)中(zhōng)的恶意软件和网络钓鱼等威胁。而且,他(tā)们更有(yǒu)可(kě)能(néng)已经联系了安(ān)全团队,提出了问题或担忧。
- 这些都是好迹象;然而,我们的研究表明,领导者更可(kě)能(néng)报告与安(ān)全团队的负面互动,他(tā)们的误报率较高。此外,组织领导人的日常习惯是更令人担忧的一件事情。
探究与思考:
- 企业网络安(ān)全状况是否真的如此糟糕?以至于20%的CISO不愿意用(yòng)一块Kit Kat®巧克力棒--大约2美元--来赌他(tā)们的网络安(ān)全状况?
- 当一个组织雇用(yòng)了正确的人员,購(gòu)买了正确的技(jì )术,采用(yòng)了所有(yǒu)正确的流程和程序--但却不愿意对他(tā)们的IT安(ān)全进行简单的承诺时,到底出了什么问题?
- 在我们的网络安(ān)全准备状况研究系列中(zhōng),我们调查了超过6550名(míng)专业人员,以更好地了解组织所面临的严重障碍--从新(xīn)出现的网络安(ān)全威胁和紧张的预算,到组织用(yòng)于保护的技(jì )术和流程的层次。此外,我们还从3个角度--公(gōng)司领导层、安(ān)全专业人员和知识工(gōng)作(zuò)者--来看待这个问题。
- 我们的目标是:弄清楚為(wèi)什么安(ān)全领导层既对自己的准备工(gōng)作(zuò)持乐观态度(他(tā)们确实如此),但又(yòu)不愿意用(yòng)Kit Kat®棒来做赌注--以及他(tā)们如何能(néng)够重新(xīn)制定有(yǒu)效、主动的网络安(ān)全战略和实践。
