报告解读:降低重大威胁可能性的十个最佳实践
日期:2022年05月30日 阅:96
ThoughtLab近日公布了2022年网络安全基准研究报告的结果,报告分析了14个行业、16个国家或地区的1200家大型组织的网络安全战略和成效,这些组织的年度网络安全支出达到1252亿美元。
报告表明,新冠疫情使网络安全进入到关键的拐点。从2020年到2021年,受访者遭受的重大威胁数量增加20.5%,网络安全预算占公司总收入的比重从0.53%上升到0.80%,猛增51%。在此期间,网络安全成为一项战略性业务要求,需要CEO及管理团队齐心协力,以达到监管部门、股东和董事会更高的期望。
此外,首席信息安全官(CISO)的职责范围扩大,许多CISO负责数据安全(49%)、防范客户和内部人员欺诈(44%)、供应链管理(34%)、企业和地缘政治风险管理(30%) 以及数字化转型和业务战略(29%)。
然而,29%的CEO和CISO以及40%的首席安全官承认,所在组织没有为迅速变化的威胁形势做好准备。提到的几个原因包括:供应链复杂性(44%)、数字化创新的快速步伐(41%)、网络安全预算不足和缺乏管理层支持(均为28%)、数字资产和实体资产融合(25%)以及人才短缺(24%)。
未做好准备的组织比例最高的行业是关键基础设施行业:医疗保健(35%)、公共部门(34%)、电信(31%) 以及航空和国防(31%)。
在接下来两年,由于政府撑腰的黑客和网络犯罪分子变得更猖獗,安全主管预计来自社会工程伎俩和勒索软件的攻击会增加。主管们预计,这些攻击将针对主要由软件错误配置(49%)、人为错误(40%)、维护不善(40%)以及未知资产(30%)引起的薄弱环节。
报告研究人员对照26个度量指标评估了企业和政府组织的网络安全表现,包括检测、响应和缓解网络安全威胁的时间以及遭受的重大威胁的数量。这份基准报告揭示了10个最佳实践,它们可以降低重大威胁的可能性,并缩短发现和响应安全事件所需的时间:
1. 将网络安全成熟度提升到最高水平
运用NIST网络安全框架方面最先进的组织在关键指标上的表现优于其他组织,比如检测威胁的时间(前者是119天,后者是132 天),每年遭受的重大威胁也较少(前者0.76起,后者0.81起)。
2. 确保网络安全预算充足
报告发现,投入与成效有明显的关联性。2021年报告多起重大威胁的受访者将IT总支出中的12.3%投入到网络安全,而2021年报告没有重大威胁的受访者平均投入总支出中的12.8%,即多花470万美元。花费更多的组织还声称,检测和缓解威胁的时间更短。
3. 采用基于风险的方法
基于风险的领导者(即定量分析风险可能性和影响方面最先进的领导者)在2021年平均看到22.5起事件和0.75起重大威胁,而基于风险的初学者看到27.1起事件和0.88起重大威胁。此外,及时缓解威胁方面表现最佳的企业中50%采用了基于风险的方法,这方面表现欠佳的企业中只有17%采用了该方法。
4. 力求网络安全以人为本
网络安全既关乎人,也关乎技术。如果组织建立以人为本的安全体系、打造对网络安全风险敏感的文化、制定更有效的培训计划,并开发一套招聘和留住网络员工的明确流程,它们遭受的威胁更少、响应速度更快。
5. 保护供应链
对于44%的受访者来说,越来越多地使用供应商使自己面临重大的网络安全风险。及时检测、响应和缓解方面表现最好的企业在供应链安全方面成熟得多。比如说,检测时间极短的组织中一半以上在供应链安全方面很先进,检测时间很长的组织中只有25%在这方面很先进。
6. 运用最新技术,避免产品散乱
没遭受威胁的组织购置多种解决方案,从电子邮件安全和身份管理等基础系统,到安全信息和事件管理系统(SIEM)等更专业的工具。这些组织也更有可能采用多层次、多供应商的安全方法,借助强大的基础架构更有效地监控和管理风险。
7. 优先保护IT技术与OT技术之间的联系
由于数字世界和物理世界相融合,受访者的攻击面在扩大。优先保护互联的IT和OT资产的组织遇到的重大威胁较少,检测和响应速度更快。
8. 利用智能自动化
自动化与人工智能和编排相结合,可帮助CISO交付成果,同时让员工摆脱繁琐的任务。比如在停留时间(检测和修复时间)极短的组织中,约30%的组织使用了智能自动化,而停留时间较长的组织中只有17%使用了智能自动化。
9. 改进安全控制,保护扩大后的攻击面
由于数字化转型、云迁移、远程工作和供应链复杂性,攻击面在疫情期间有所扩大。研究表明,更多的公司需要落实安全控制措施,以覆盖不断扩大的技术环境。
10. 加强衡量成效
目前,组织平均只跟踪4.2个网络安全指标。监控六个或更多指标的管理层团队遇到的事件和重大威胁较少,响应攻击的速度也更快。
ThoughtLab的首席执行官Lou Celi表示,疫情期间转向数字化,加上地缘政治局势日趋紧张,组织进入了网络安全风险新时代,需要更强大的领导力,以及高层管理班子及员工之间更广泛的团队合作。研究表明,组织需要确保网络安全计划积极主动、基于风险、以人为本、数字化领先和资源充足,从而将计划提升到更高的成熟度。
参考链接: