2021年企业网络安全态势与成熟度报告
2021年勒索软件攻击愈演愈烈,已经成为新闻头条的常客,其破坏性和赎金金额创下历史新高。ISACA与HCL Technologies合作的一份新报告的调查结果显示,35%的受访者表示他们的企业正在经历更多的网络攻击,比去年高出三个百分点。
企业最常遭受的四种攻击类型
ISACA 2021年年度网络安全状况调查报告的第二部分研究了网络威胁格局趋势,包括攻击的频率和类型、对网络安全团队和网络安全意识举措的信心、与安全运营和报告结构相关的细微差别,以及作为业务需要的网络成熟度。
虽然受访者表示他们的企业受到更多攻击,35%的受访者表示网络攻击比前一年有所增加,但最常见的攻击类型与前一年相似:
1.社会工程–14%
2.高级持续威胁(APT) –10%
3.勒索软件–9%
4.未打补丁的系统–9%
新冠肺炎全球大流行带来了一系列挑战,包括影响网络安全团队的挑战。由于新冠肺炎疫情大流行,超过三分之一的企业报告已经采用安全访问服务边缘(SASE)模型(12%)或零信任安全策略(23%)作为网络安全方法。
ISACA首席执行官戴维·萨缪尔森表示:“随着全球网络攻击数量和速度的增加,网络安全专业人员面临着2021年充满挑战的威胁形势,需要时刻保持警惕。”“这些调查结果表明,全球网络安全社区积极了解最新的最佳实践和培训,并确保他们的团队配备充足的人员来检测和应对攻击是多么重要。”
CISO与CIO掌舵的差异
在网络安全团队和领导力方面,报告结果显示,由CISO或CIO掌舵的安全职能与组织对网络攻击是否增加或减少、检测和响应网络威胁的信心水平或对网络犯罪的看法之间没有明显差异。
然而,报告确实发现,主管网络安全的CISO或CIO在网络风险评估的执行评估方面存在差异(CISO为84%,CIO为78%)、董事会网络安全优先级(CISO主管为61%,CIO主管为 47%);网络安全战略与组织目标的一致性(CISO主管为77%,CIO主管为68%)。
该报告还发现,三分之一的受访企业的安全运营中的人工智能(AI)技术已全面运作,比前一年增加了4%。77%的受访者还表示,他们对网络安全团队检测和应对网络威胁的能力充满信心,比去年增加了3个百分点。此外,78%的受访者表示,他们认为网络安全培训和意识计划具有积极影响。
Neosecure的网络安全架构师Alejandro Bernal说:“人为因素向来是是安全领导者首要关注的问题,因为它很容易就能给任何环境带来风险,而社会工程成为企业最常遭受的攻击类型佐证了这一点。提高网络安全意识的投资与部署尖端技术一样重要。”
网络成熟度评估面临三大挑战
报告发现,65%的受访者表示他们的企业评估了他们的网络成熟度,而那些进行网络成熟度评估的企业更有可能配备人员充足的安全团队并提供足够网络安全预算。关注安全计划衡量和成熟度的受访者对其组织检测和响应网络攻击的能力的信心也高出两倍多。
报告显示,企业安全领导者们在确定网络成熟度方面面临三大挑战,包括:
将风险与成熟度相结合并跟上行业威胁(30%)
难以区分成熟度概念与管理合规性概(29%)
拥有了解和评估网络成熟度的必要经(27%)
尽管存在这些挑战,80%的受访者表示,他们的领导人认为进行网络风险评估很有价值;39%的企业每年都会进行这些评估,76%的受访者将合规性视为进行这些评估的主要驱动力。
HCL网络安全和GRC服务研究员兼首席架构师Renju Varghese表示:“在复杂、不断变化的网络安全环境中,企业面临越来越严重的攻击,评估网络安全成熟度可以在确定企业是否拥有有效的安全计划方面发挥作用。”
报告总结说:“采取主动的、基于风险的评估方法,而不是简单地满足合规要求,将有助于企业确保实现其网络安全目标,并且随着2021年威胁态势的变化,可以继续根据需要进行调整。”