但是,認(rèn)為已經(jīng)為網(wǎng)絡(luò)攻擊做好準(zhǔn)備與做好準(zhǔn)備的結(jié)果是截然不同的。首席信息安全官日益增強(qiáng)的信心可能是成功克服重大突發(fā)事件(例如新冠疫情)的結(jié)果,但并不是風(fēng)險(xiǎn)防范水平的切實(shí)變化。這份調(diào)查報(bào)告表明,50%的首席信息安全官仍然認(rèn)為他們所在的公司沒有準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)攻擊,56%的受訪者認(rèn)為人為錯(cuò)誤是最大的網(wǎng)絡(luò)漏洞,既定的遠(yuǎn)程工作模式和辭職潮給企業(yè)的信息保護(hù)帶來了新的挑戰(zhàn)。
該報(bào)告審查了來自不同行業(yè)的大中型企業(yè)的1400多名首席信息安全官的全球第三方調(diào)查反饋結(jié)果。在2022年第一季度進(jìn)行的調(diào)查過程中,來自14個(gè)國家/地區(qū)市場的100名首席信息安全官接受了調(diào)查,這些國家和地區(qū)其中包括美國、加拿大、英國、法國、德國、意大利、西班牙、瑞典、荷蘭、阿聯(lián)酋、沙特阿拉伯、澳大利亞、日本以及新加坡。
該調(diào)查探討了三個(gè)關(guān)鍵領(lǐng)域:首席信息安全官每天應(yīng)對(duì)的威脅風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊類型、員工和企業(yè)對(duì)于網(wǎng)絡(luò)安全的準(zhǔn)備程度,以及在企業(yè)準(zhǔn)備重新開設(shè)企業(yè)辦公室時(shí)支持混合勞動(dòng)力的影響。它還揭示了首席信息安全官在其角色、他們?cè)谄髽I(yè)高管中的地位以及他們?cè)趫F(tuán)隊(duì)的業(yè)務(wù)期望方面遇到的挑戰(zhàn)。
Proofpoint公司副總裁兼全球常駐首席信息安全官Lucia Milic?評(píng)論說,“備受矚目的網(wǎng)絡(luò)攻擊擾亂和破壞了供應(yīng)鏈,如今已經(jīng)成為頭條新聞,并推動(dòng)產(chǎn)生了新的網(wǎng)絡(luò)安全立法,2021年對(duì)世界各地的首席信息安全官來說是另一個(gè)充滿挑戰(zhàn)的時(shí)期。隨著他們適應(yīng)新的工作方式,令人鼓舞的是,他們現(xiàn)在似乎對(duì)自己的安全態(tài)勢(shì)更有信心。
隨著新冠疫情對(duì)安全團(tuán)隊(duì)的影響逐漸消退,我們發(fā)布的2022年報(bào)告揭示了一個(gè)緊迫的問題。隨著員工離職或選擇不重返工作崗位,安全團(tuán)隊(duì)現(xiàn)在正在管理大量信息和內(nèi)部威脅。”
首席信息安全官面臨的主要挑戰(zhàn)
首席信息安全官對(duì)自己的網(wǎng)絡(luò)安全狀況更有信心:在經(jīng)歷了兩年前所未有的破壞之后,首席信息安全官現(xiàn)在感覺對(duì)運(yùn)營環(huán)境的控制能力更強(qiáng):48%的首席信息安全官認(rèn)為他們的企業(yè)在未來一年內(nèi)可能面臨遭受重大網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),而去年有64%的人這樣認(rèn)為。
首席信息安全官對(duì)針對(duì)其企業(yè)的最重大威脅缺乏共識(shí):在今年,內(nèi)部威脅(無論是疏忽、意外還是網(wǎng)絡(luò)犯罪)以31%位居榜首,而緊隨其后的是DDoS攻擊、商業(yè)電子郵件泄露和云帳戶泄露(Office365或G套件帳戶被泄露),均為30%。盡管勒索軟件攻擊事件占據(jù)了最近的頭條新聞,但仍只占28%。
企業(yè)的網(wǎng)絡(luò)安全準(zhǔn)備情況有所改善,仍然是一個(gè)關(guān)鍵問題:對(duì)新冠疫情發(fā)生之后工作環(huán)境的日益適應(yīng)也讓首席信息安全官感覺更有能力應(yīng)對(duì)網(wǎng)絡(luò)威脅。雖然66%的受訪者認(rèn)為他們沒有為2021年的針對(duì)性攻擊做好準(zhǔn)備,但今年這一比例已降到50%。
員工的安全意識(shí)如今正在提高,但網(wǎng)絡(luò)防御的技能水平仍然不夠:雖然60%的受訪者認(rèn)為他們的員工了解在保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅方面的作用,但56%的受訪者仍然認(rèn)為人為錯(cuò)誤成為他們所在企業(yè)最大的網(wǎng)絡(luò)漏洞。去年,在接受調(diào)查的全球首席信息安全官中,只有一半的受訪者表示增加了對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)的頻率。
長期混合工作和辭職潮使保護(hù)數(shù)據(jù)成為首席信息安全官面臨的一項(xiàng)新挑戰(zhàn):員工現(xiàn)在在任何工作地點(diǎn)都形成了防御邊界,51%的首席信息安全官表示在過去一年月中看到有針對(duì)性的網(wǎng)絡(luò)攻擊有所增加。一半的受訪者表示,員工過渡的增加意味著保護(hù)數(shù)據(jù)已成為一項(xiàng)日益嚴(yán)峻的挑戰(zhàn),對(duì)信息保護(hù)的投資是未來兩年的首要任務(wù)。當(dāng)被問及員工最有可能導(dǎo)致數(shù)據(jù)泄露的原因時(shí),首席信息安全官將受損的內(nèi)部攻擊列為最有可能的媒介,一些員工無意中暴露了他們的憑據(jù),從而使網(wǎng)絡(luò)犯罪分子能夠訪問敏感數(shù)據(jù)。
勒索軟件攻擊的頭條新聞顯著地提高了企業(yè)高管的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí),并推動(dòng)了戰(zhàn)略轉(zhuǎn)變:最近備受矚目的攻擊事件將防止勒索軟件推到了企業(yè)的首要議程,58%的受訪者表示他們購買了網(wǎng)絡(luò)保險(xiǎn),五分之三的受訪者表示注重預(yù)防勝于檢測和應(yīng)對(duì)策略。然而,盡管贖金數(shù)額不斷增長,但大約42%的首席信息安全官承認(rèn)他們沒有制定贖金支付政策。
盡管首席信息安全官感到面臨的壓力略小,但由于網(wǎng)絡(luò)風(fēng)險(xiǎn)令企業(yè)領(lǐng)導(dǎo)者擔(dān)憂,而董事會(huì)的支持仍然不穩(wěn)定:49%的首席信息安全官認(rèn)為企業(yè)董事會(huì)對(duì)其角色的期望過高,低于去年的57%。然而,與企業(yè)董事會(huì)不一致的看法有所增加,全球只有21%的首席信息安全官表示企業(yè)董事會(huì)在網(wǎng)絡(luò)安全問題上與他們意見一致。在考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí),全球首席信息安全官將重大停機(jī)、運(yùn)營中斷和對(duì)業(yè)務(wù)估值的影響列為企業(yè)董事會(huì)最關(guān)心的問題。
Proofpoint公司網(wǎng)絡(luò)安全戰(zhàn)略執(zhí)行副總裁Ryan Kalember說,“在花費(fèi)兩年時(shí)間加強(qiáng)防御以支持混合工作之后,首席信息安全官不得不優(yōu)先處理針對(duì)當(dāng)今分布式、依賴云計(jì)算服務(wù)的勞動(dòng)力的網(wǎng)絡(luò)威脅。因此,他們的重點(diǎn)已經(jīng)轉(zhuǎn)向防止最有可能的網(wǎng)絡(luò)攻擊,例如商業(yè)電子郵件泄露、勒索軟件、內(nèi)部威脅和DDoS。
總體而言,首席信息安全官似乎將2022年視為風(fēng)暴過后的一個(gè)平靜期,但可能陷入了一種錯(cuò)誤的安全感。隨著地緣政治緊張局勢(shì)加劇和以人為中心的網(wǎng)絡(luò)攻擊不斷增加,在網(wǎng)絡(luò)安全海洋再次變得波濤洶涌之前,必須彌補(bǔ)用戶意識(shí)、準(zhǔn)備和預(yù)防方面的差距。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)