2022 安全态勢報告 前言
報告顯示,随着組織遷移到雲端,勒索軟體的興起和普遍存在的網絡安全問題,企業越來越希望可以通過貨币形式衡量網絡風險,網絡安全團隊正在努力衡量和改善他們的安全态勢,以及網絡攻擊對業務的影響。
該報告由 Cyber security Insiders 制作,該社群擁有 500,000 名資訊安全專業人士線上社群,旨在探索網絡安全營運的最新趨勢、主要挑戰、差距和解決方案等。
主要發現
62% 的組織對其安全狀況沒有信心。資産庫存缺乏可見性以及無法根據業務風險對漏洞進行優先級排序是造成這種情況的原因。
62% 的組織無法以貨币機關量化其網絡風險。
83% 的組織沒有統一的雲和本地安全态勢視圖。這導緻安全态勢管理中存在孤島和低效等問題。
網絡安全上司者難以将他們的安全态勢情況清晰的傳達給董事會和進階管理層。
Holger Schulze
Cybersecurity Insiders 首席執行官兼創始人
對安全态勢的信心
組織對自己的安全狀況明顯缺乏信心。62% 說他們充其量是對自己的安全姿态有些信心。
您對您的組織的整體安全态勢有多大的信心?
網絡風險影響
62% 的組織無法用貨币機關量化其網絡風險,這使網絡安全上司者難以引起董事會的注意并證明投資于網絡安全人員和控制。是以,對于大多數組織來說,給董事會示範隻是“可以。
你是否能夠以貨币機關(美元、歐元、英鎊等)來量化你的網絡風險?
以下哪一項最符合您最近一次關于網絡安全的董事會或進階管理層演講?
資産清單中的盲點
為了準确地衡量他們的安全态勢,組織需要檢視資産庫存,了解他們其擁有哪些資産,這是保護資産的基礎。當被問及如何評估其資産庫存意識時,58%的組織知道其網絡上的資産少于75%。
83% 的組織确認其擁有至少 50% 的資産覆寫率。也就是說,組織大緻了解擁有多少資産。業務關和每個資産的分類也十分關鍵,這是一個重大問題,因為沒有準确和最新的庫存,組織将努力改善安全狀況。
以下哪項最能描述組織對資産庫存的處理?
可見性不足是一個問題
報告顯示,隻要一半的組織對網絡風險有足夠的可見性。雖然65%的組織報告說他們有持續的可見性,但缺乏優先級和需要及時修補的資源阻礙了漏洞程式的有效性。
您的業務是否具有整體的安全可見性?
風險領域
研究團隊詢問了組織對哪些風險領域有持續的可見性。68%的組織列出了未打更新檔的系統,其次是身份和通路管理(59%),以及網絡釣魚、網絡和勒索軟體(52%)。令人擔憂的是,組織報告的風險領域的可見性較低,如資産庫存(49%)、密碼問題(48%)和惡意内部人員(23%)。
您可以持續了解以下哪一個風險領域?
最大的安全威脅
當被問及組織面臨的最大安全威脅時,86%的組織最擔心的是網絡釣魚和勒索軟體攻擊。其次是未打更新檔 的系統(54%)和錯誤配置(45%)造成的漏洞。
您認為以下哪些領域對組織造成的風險最大?
漏洞優先級
無法對漏洞進行優先級排序,這對漏洞管理程式的有效管理存在很大限制。40%的組織發現很難判斷哪些漏洞是真正的威脅存在,哪些漏洞永遠不會被利用。37%的組織隻關注整個攻擊面的一小部分。24%的組織感到被太多的警報淹沒了,無法采取行動。
您目前擔心的安全可見性是?
雲安全優先級
在雲計算中,60%的組織會手動設定警報的優先級。
當涉及到雲安全姿态時,是否有辦法确定警報和網絡風險的優先級補救措施?您如何優先考慮警報?
雲安全信心
63%的組織确認,他們對雲和内部部署安全姿态缺乏統一的看法。
您是否對跨雲基礎架構和本地的安全狀況有統一的看法?
安全名額
重要的是,組織要優先考慮正确的名額來衡量網絡安全态勢。更新檔管理名額是收集到最多被提到的網絡安全名額占66%,其次是漏洞名額(41%)。
以下哪些是最重要的網絡安全姿态管理名額?
網絡安全可見性較差或不可見的資産 31% | 修複易受攻擊系統的平均時間 31% | 漏洞掃描覆寫率 28% | 貨币機關(例如美元、歐元、英鎊、日元等)的網絡風險資産 24% | 平均庫存時間(網絡上的所有資産)17% | 具有深度網絡安全可見性的資産 14%
面 臨 的 挑 戰
資産發現和管理
盡管有一些安全工具可以使用,但篩選所有資料和識别關鍵漏洞是一項極具挑戰的工作。是以,組織不斷地擔心看不見的網絡風險和漏洞。組織需要統一其IT 和網絡安全工具生成的所有資料——如CMDB、防火牆、漏洞工具、EDR、SIEM、MDM系統、活動目錄、物聯網/OT管理系統、雲基礎設施api等。在檢視他們的資産庫存和攻擊面時,大多數受訪者并不占其庫存資産的25%或以上。這在安全姿态上造成了巨大的盲點和嚴重的風險。企業必須有一個連續的、實時的庫存視圖,其中包括所有的裝置 、應用程式和服務。這意味着管理和非管理的基礎設施、預和雲,以及固定和移動。他們還應該有關于如何使用裝置的資訊。
風險可見性
Infosec團隊需要親眼看到他們網絡上的所有裝置和應用程式,以及他們容易遭受的數百個攻擊向量。這種可見性應該是連續的,因為定期掃描很快就會過時。最後,團隊應該了解漏洞的嚴重性,知道它們是真正的威脅還是僅僅是危險提示。
雲安全态勢管理
63%的組織通過單獨的儀表闆檢視他們的雲計算和本地資産,20%的組織隻檢視他們的現有資産。組織需要将雲和内部部署可見性合并到一個視圖中,這就消除了安全從業者檢視多個儀表闆,提高工作效率。
量化違約風險
62%的組織無法以貨币術語計算他們的違約風險。是以,要吸引董事會的注意,并使他們能夠在安全投資方面做出正确的決定,這是一項挑戰。以貨币術語計算網絡風險提供了一種通用的語言——從安全工程師、IT管理者到CISO、首席财務 官和首席資訊官——組織可以使用它來确定項目和支出的優先級,并跟蹤其整個網絡安全項目的有效性。
上司層溝通
52%的網絡安全上司者都滿足于“好吧” 。如何有效的示範以及可量化且直覺的風險名額非常重要。應該專注于商業目标,并幫助利益相關者了解公司在網絡風險方面的不可忽視性,它應該在哪裡,以及它如何能夠實作這些目标。
本報告基于2021年10月對美國297名IT和網絡安全專業人員進行的全面線上調查的結果,旨在探索 網絡安全營運的最新趨勢、關鍵挑戰、差距和解決方案偏好。受訪者從技術主管到IT安全從業者,代表了多個行業不同規模的組織。
注:本文由E安全編譯報道。