【公益译文】2023年网络安全成熟度报告

阅读： 13

一、引言

过去几年期间，公司应对复杂的攻击、使用网络安全解决方案，导致在安全方面的预算显著增加。而在同一时期，脆弱性也在加剧。安全漏洞激增，给各企业带来巨大的财务损失和声誉损失，所以企业需要转变其网络安全方法。本篇报告将指出哪些网络态势最为强劲的行业和国家和较为滞后的行业和地区，以及最常见的漏洞。报告还研究了不同行业、国家和公司规模的得分，就如何实现更好的网络态势提供了建议和最佳实践。

本篇报告涵盖两年来收集的网络评估数据，覆盖15个国家和近十几个行业。每项评估都包含对七个不同安全领域的组织评估，共有312个数据点。

根据数百项客户评估汇编的网络安全数据，数据来自：

本篇报告中，每个类别都经过了七个不同安全领域的成熟度衡量，七大领域构成了整体的网络安全战略。在组织内部的关键资产保护方面，每个领域都扮演着不同的角色。以下是CYE公司对此的定义。

二、研究方法

本报告基于CYE公司两年来进行的网络安全评估结果。每项评估结果都包括相关组织在七个不同安全领域的总体安全状况。评估项包括总体安全评分、每个安全领域的漏洞列表及其严重程度、发现和利用漏洞的详细说明、漏洞导致的资产损失，以及漏洞的解决方法。本报告的评估结果为自动解析，提取了安全评分和主要结论。在保证客户的隐私要求和匿名要求的基础上，收集了每次评估中客户的行业、规模和位置。

最后，根据收集的客户特征对数据进行汇总和进行进一步处理，根据统计并分析趋势和结果。CYE公司的数据科学家和安全研究人员对结果进行了仔细研究，确定和验证报告内容的准确性。

三、评分系统

我们的评分系统基于能力成熟度模型集成（CMMI），并在此基础上进行了优化，为组织提供流程改进和实践指南。CMMI框架包括全面、可扩展的方法，用于评估为达到网络安全成熟度水平的流程和实践的实施情况。评分范围为1-5分，1分为最低或最脆弱，5分为最高，代表最成熟的网络安全水平。

四、行业定义

五、总体结论

以下结果表示所有组织在七个安全领域中的平均得分。

主要结论：

金融部门遭到的网络攻击的数量不断增加，金融稳定面临威胁，网络风险成为决策者关注的首要问题。除此之外，法规和财务损失问题促使许多公司实施了网络安全措施，所以银行和金融科技等金融部门情况良好。
然而零售业和公共行业的平均得分较低，原因可能在于拥有实体店和在线业务的零售商没有把网络安全问题当成首要任务。此外，许多零售企业更注重速度，而不重视安全问题。依赖客户的公共部门没有其他选择，因此没有优先考虑安全问题。此外，他们可能难以吸引合格的安全专业人员。
中小型组织的网络安全成熟度得分最高。中型组织知道他们别无选择，只能将网络安全作为优先事项，而且他们有资源用于投资网络安全解决方案。然而小型组织的攻击面很小，可以由小型安全团队管理。大型组织成熟度较低，对如此之大的攻击面进行防御十分具有挑战性。
美国、英国和德国在网络安全领域投入较多，但得分却没有居榜首，这说明投资多并不一定能建立较高的成熟度。成熟度较低的原因可能是缺乏适当的网络安全风险量化和成熟度战略规划。总而言之，即使在网络安全方面投入较少，如果计划和支出得当，组织也可以达到较优的成熟度。
挪威在大多数领域得分最高。挪威的首个国家网络安全战略于2003年出台，挪威成为世界上首个在网络安全领域制定国家级战略的国家之一。随着威胁形势的发展，2007年和2012年修订了国家战略。得分正是例证。
墨西哥公司在一半的领域得分最低。墨西哥没有建立国家网络安全计划，而是鼓励私营部门独立实施自我调控措施，以此抵御网络攻击。部分研究显示，墨西哥是公共和私营部门遭到网络攻击次数最多的拉丁美洲国家。

上图为成熟度分数分布。X轴表示成熟度分数，Y轴表示分数的百分比分布。成熟度得分分布为正态曲线，平均成熟度约为2.2。我们可以具体分析曲线上某一段的情况。例如，科技子行业和日本的成熟度得分最高（2.78，只有4%的参与者获得了同等水平的分数）。保险业和澳大利亚的得分中等（约2.2分，超过约50%的参与者），墨西哥和零售业的得分最低（约1.7分，约30%的参与者）。

安全领域1：应用程序级安全

定义：应用程序级安全措施的目的是防止应用程序中的数据或代码被盗或被劫持。其中包括应用程序开发和设计过程中的安全考虑，以及部署应用程序后保护应用程序的系统和方法。应用程序级安全指在应用程序中开发、添加和测试安全功能的过程，防止针对未经授权的访问和修改等威胁的安全漏洞。

主要结论：

毫无疑问，金融公司在向客户提供的交易应用程序中，必须实施最高级别的黑客攻击防御和盗窃保护措施。现代金融公司高效的在线交易经常会使用到用户的敏感数据以及用户的银行账户。一旦发生网络攻击或出现安全漏洞，所有敏感信息都将面临风险。
零售公司的得分为1.45，十分低，这些公司正在迅猛发展，特别是在新冠疫情的背景下，正努力适应快速增长趋势（尤其是电子商务）。因此，他们没有在公司的整体安全状态或应用程序级安全方面投入足够的时间、精力和资源。此外，为了保持自己的竞争力，零售商采用了新的支付和数字技术，因此成为网络犯罪分子的主要目标。
技术信息披露和详细的错误信息是该领域中普遍存在的漏洞。SQL曾是最主要的发现，现在排名最低，事实上，黑客已不再试图利用SQL。同样，XSS排名不低，但也不在前五位，趋势可能与SQL注入相同。
从地理位置来看，许多欧洲国家的得分相对较低。在实施了GDPR合规性的情况下得分仍低，情况令人惊讶。

安全领域2：跨组织策略、程序和管理

定义：IT安全管理是组织用于IT安全指导和管控的系统，决定了有权做出决定的人。该系统提供监督功能，确保风险得到充分缓解，安全战略与业务目标保持一致并符合法规。

主要结论：

风险和成熟度之间存在巨大的相关性。组织的网络安全实践达到高度成熟的水平时，就能够更好地发现并降低潜在的风险，进而使风险保持较低的水平。
五大最重要的发现十分基础，但不能忽略，其中有些被认为是多年来的主要问题。例如，“全球安全更新策略不充分”问题会导致漏洞再次出现，给攻击者制造机会，组织往往会忽略创建和实施更新策略的问题。组织可以通过投资缓解主要问题，显著提高成熟度。
通常得分较高的德国在跨组织政策、程序和管理方面得分排名第二，这说明德国实施了自上而下的网络安全方法。
东南亚组织在该领域的得分十分低（1-1.5）。这可能与该地区不太成熟的监管有关，相比之下，实施了GDPR的欧洲国家监管水平较高。
高风险维护程序漏洞（即许可管理）是所有组织都会面临的挑战，组织需要在保持较高的网络安全水平的同时，还要努力有效维护机器和服务。

安全领域3：身份管理和远程访问

定义：身份和访问管理（IAM）又名身份管理，指用于管理数字身份的IT安全规程、框架和解决方案。身份管理包括身份提供和撤销、身份安全和身份认证，以及访问资源和/或执行某些操作的授权。一个人虽然只有一个数字身份，但可能有多个不同的账户。每个帐户可以设置不同的访问控制，包括资源和权限。IAM的首要标是确保所有给定的身份都可以在正确的权限中访问正确的资源（应用程序、数据库、网络等）。

主要结论：

身份管理和远程访问安全领域解决了攻击者最常用和最易利用的情况，但也为组织提供了机会，组织可以快速进行改进。事实上，能源和技术是相对较新的行业，其成熟度迅速提高，可以成为该领域的引领者。
前五大问题十分常见且基本，弱密码问题在近32%的组织中排名第一。
弱密码策略和弱身份认证机制的组合增强了攻击者的能力，使攻击者没有必要再进行攻击。攻击者只需登录即可。添加到“对包含敏感信息的网络共享的允许访问规则”中时，攻击者可以在几乎没有影响的情况下访问敏感数据。
能源领域处于领先。石油和天然气公司是关键的基础设施，成为国家支持的网络犯罪分子的头号目标，这些公司别无选择，只能提高成熟度。
阿联酋为1分，得分最低，可能是对这一问题缺乏认识。迪拜卧龙岗大学表示，美国、英国和澳大利亚于1998年初制定了身份验证相关的法律和政策，而阿联酋几年前才开始研究这一问题。直到2012年，阿联酋才制定了《网络犯罪法》，该法仍然没有具体解决身份盗窃和IAM问题。

安全领域4：网络级安全

定义：网络安全保护网络和数据免受入侵等威胁的破坏。

网络安全这一概念所包含的内容庞大且全面，其中包括硬件和软件解决方案，以及与网络使用、可访问性和整体威胁保护相关的流程或规则和配置。

网络安全涉及访问控制、病毒和防病毒软件、应用程序安全、网络分析、网络相关安全类型（端点、网络、无线）、防火墙、VPN加密等。

主要结论：

科技公司在网络及安全领域的情况并不好，十分令人惊讶。科技公司雇佣了精通技术的人员，但由于网络安全配置工作较为低级和普通，技术人员往往不愿处理和维护这一问题。此外，科技公司更倾向于实现发展目标，忽视网络安全的整体地位。所以，网络安全问题的责任往往落在经验不足的人员身上，导致该行业得分低于标准。另一个因素是跨组织的长期效应。人们倾向于专注于特定团队和子网络，更快地完成工作，而不愿意为更好的结果进行跨组织协作。
墨西哥公司的得分最低。《墨西哥金融系统网络安全状况》报告分析了墨西哥金融部门的网络安全情况，仅33%的公司使用加密控制和端点安全工具，仅54%的公司使用网络安全工具（VPN、NAC、ISE、IDS/IPS、Web过滤、安全电子邮件等）。
服务业在网络安全领域排名第一，十分出乎人们意料。主要原因可能是客户促使供应商将高级安全措施作为开展业务的先决条件。
该领域的最新结论显示，新冠疫情对此产生了影响。新冠疫情迫使人们远程工作，更多地依赖于互联网。

安全领域5：安全操作监控和事件响应

定义：安全运营中心（SOC）是容纳信息安全团队的设施，团队负责持续监控和分析组织的安全态势。

SOC团队的目标是通过技术解决方案和强大的流程分析、检测和应对网络安全事件。安全运营中心通常配备安全分析师、工程师，以及监督安全运营的经理。

SOC与组织事故响应团队密切合作，确保发现安全问题后迅速解决。

SOC监控和分析网络、服务器、端点、数据库、应用程序、网站和其他系统上的活动，发现可能表明安全事件或危害的异常活动。

SOC确保正确发现、分析、防御、调查和报告潜在的安全事件。

主要结论：

安全操作监控和事件响应领域需要时间投入和战略投资，无法快速优化，必须综合利用技术、人员和流程进行改进。金融业明显处于领先位置，他们始终坚持减少响应时间，尽快遏制导致资金损失的网络事件。其他行业逐渐将监测作为优先事项，我们预测差距将在几年内缩小。
克罗地亚排名第一，令人惊讶。2020年，美国在萨格勒布建立了新的网络安全行动中心和移动网络事件应对小组。此外，2022年，美国网络司令部历史上首次部署了一支由精英防御网络运营商组成的团队，前往克罗地亚，追踪合作伙伴网络中的恶意网络活动。消息发布之际，中欧和东欧国家高度警惕俄乌战争相关的网络攻击。因此，克罗地亚过去几年意识不断增强，投入学习和投资，因此获得了高分。
监测应该是第二道防线，而组织错误地将其视为第一道防线。零售业就是其中的例子，零售业排名第二，但在总体排名中较为靠后。组织应警惕被动的方法，在优先考虑监控策略前对保护政策和技术进行适当投资。

安全领域6：敏感数据和信息管理

定义：敏感数据指个人或组织不希望公开的信息，信息发布可能会产生不良后果，如身份盗窃或欺诈。敏感数据还包括个人的信用卡信息和医疗记录，以及公司专有信息。组织希望保护敏感信息时，需要不断了解其复杂的IT生态系统。这提供了跨风险因素的外部视角，使组织能够持续监控、补救和记录数据保护活动。随着数字化转型战略的加快，网络安全和隐私问题愈发重要，实时了解新风险，快速缓解威胁和保护敏感数据对企业来说更加重要。

主要结论：

令人惊讶的是，医疗是拥有最敏感的个人信息的行业之一，但医疗领域排名最低。这表明，即使在我们委托最敏感信息的组织中，对个人信息问题的认识也严重不足。“未删除文件共享中的敏感数据”是最常见的问题之一，文件共享问题是整个领域的薄弱环节。
就地理位置而言，许多必须遵守GDPR的欧洲国家仍然没有达到应有的网络安全水平。
我们注意到，与其他领域相比，该领域的成熟度得分相对较高。主要是因为法规（GDPR、CISA等）的出台，这些法规将数据安全视为其他网络安全要求的基础。

安全领域7：服务器、网络设备和端点安全

定义：端点保护也叫端点安全，指为应对网络端点所面临的威胁而采取的安全措施，网络端点是服务器、工作站、笔记本电脑和移动设备等设备。

主要结论：

技术过时是一大挑战，影响整个安全领域。
我们可以看到，小型组织的得分最高（2.55）。在端点安全领域，小企业在应用严格的规则、轻松执行方面要容易得多。
挪威得分最高，挪威增加了数字防御支出，降低关键IT基础设施面临俄罗斯国家支持的网络攻击的风险。在网络攻击增加和安全态势评估更新之后，威胁级别上升，这与挪威对乌克兰的军事和贸易支持有关。

六、建议

本报告对网络安全趋势和最佳实践的分析结果进行了说明。基于对现有数据的审查，提出以下加强组织系统和数据安全的建议。

为能力投资，而非工具，打好基础。组织经常在工具方面进行投资，这将导致更大的攻击面，但没有更强的能力。寻找通过将技术、人员和流程相结合来用能力取代工具的提供商，管理组织风险，使组织能够重新掌控其网络弹性。
制定具有董事会级别问责制的网络安全综合方法。董事会必须参与公司网络政策的决策。这是管理层了解保护公司所需的风险和财务投资水平的唯一途径。
深入评估状况，量化风险，根据数据优先考虑缓解措施。为了正确地确定缓解措施的优先级并分配资源，组织需要了解风险。发现来自所有攻击面的威胁，评估与组织相关的漏洞和结论，找到危害关键业务资产的方式，加大在网络风险量化方面的投入。考虑关键资产的财务背景，使用统计数据评估资产违约的可能性。围绕这些数据规划缓解措施，为解决根本原因问题的全面解决方案进行投资。

免责声明

该文章原文版权归原作者所有。文章内容仅代表原作者个人观点。本译文仅以分享先进网络安全理念为目的，为业内人士提供参考，促进思考与交流，不作任何商用。如有侵权事宜沟通，请联系[email protected]邮箱。

文章信息

发布机构：CYE网络安全公司发布日期：2023年3月

原文链接：https://pages.cyesec.com/hubfs/Reports/Cybersecurity_Maturity_2023.pdf

小蜜蜂翻译组公益译文项目，旨在分享国外先进网络安全理念、规划、框架、技术标准与实践，将网络安全战略性文档翻译为中文，为网络安全从业人员提供参考，促进国内安全组织在相关方面的思考和交流。