最大的网络安全风险反而是网络战略的复杂性? 安永2023全球网络安全领导力洞察研究 目录 第一章采用新兴技术:在简化中实现安全6 第二章网络安全成熟型企业可覆盖整个攻击面9 新兴技术正在制造新型攻击面10 网络安全领导者低估了供应链带来的风险11 第三章运用商业语言12 网络安全整合需要从高管团队开始行动12 广泛的员工参与将带来更优的网络安全策略整合局面13 网络安全陷入技能追赶的困境,需要对其采取战略举措13 第四章网络安全成熟型企业-使网络安全成为价值驱动力15 为更有效的价值驱动网络安全战略付诸行动16 《安永2023全球网络安全领导力洞察研究》显示了网络安全领导者如何在创造价值的同时加强防御。 概述: •虽然企业增加了对网络安全的投资,但随着网络攻击者利用先进技术和攻击面的扩大,威胁也在加剧 •最有效的首席信息安全官简化了他们的技术架构,强调自动化,并在组织各层级之间进行有效的沟通 •改善后的网络安全不仅可以减少漏洞,它还通过优化技术支出、促进合作和建立信任来创造价值。 尽管网络攻击威胁不断增加,对网络安全方面的投资也在持续增长,但只有五分之一的首席信息安全官(ChiefInformationSecurityOfficer,CISO)和高管团队认为他们的网络安全措施在目前是有效的,并且为未来做好了充分的准备。 《安永2023全球网络安全领导力洞察研究》的研究对象还指出了一些令人担忧的问题。企业 平均每年面临44起重大网络事件,但检测和响应较慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件。与此同时,在过去五年中已知的网络攻击数量增加了约75%1。预计到2031年,勒索软件造成的损失将从2021年的200亿美元增加到2650亿美元2。新的、复杂的网络攻击者正在利用最新的技术作为武器提高攻击的速度和规模,由此对企业造成的财务、监管和声誉方面的影响正不断加剧。 关于此项研究 2023年2月至3月,安永在全球范围组织进行了一项研究,旨在更好地了解公司如何处理其组织的网络安全,为当前和未来的网络安全威胁做好准备。我们对来自美洲区、亚太区,以及欧洲、中东、印度及非洲区等25个国家和地区、11个不同行业的500名网络安全领导者进 行了调研,其中包括250名首席信息安全官(CISO)。这些研究对象代表了年营收超过10亿美元的组织。 通过统计模型,我们确定了在网络安全领域取得优秀成果的组织——称之为网络安全成熟型企业。与表现欠佳的同行(网络安全发展中企业)相比,网络安全成熟型企业的网络安全事件数量更少,且检测和响应事件的速度更快。他们对组织当前的网络安全策略的满意度更高(51%vs36%),也对未来的网络安全威胁做好了更充分准备(53%vs41%)。 1网络事件数据库 2网络安全风险投资 1.我们调研了500名首席信息安全官和高管,并确定了取得优秀网络安全成果的组织,称为网络安全成熟型企业(42%)。 网络安全发展中企业(58%)代表表现欠佳的同行。 2.网络安全成熟型企业在2022年遭遇的网络安全事件较少。 2022年,仅有14%的网络安全成熟型企业面临50起以上的网络安全事件,而网络安全发展中企业的比例为46%。 3.网络安全成熟型企业能够更快地发现网络安全事件。 65%的网络安全成熟型企业的平均检测时间(MTTD)为6个月或更短,而网络安全发展中企业只有27%能达到这一时间。 4.网络安全成熟型企业对事件的响应速度也更快。 67%的网络安全成熟型企业的平均响应时间(MTTR)为30天或更短,而网络安全发展中企业只有8%能达到这一时间。 图片描述: 数据可视化展示了如何根据研究对象所在组织的网络安全有效性对研究数据进行细分。 网络安全成熟型企业的网络安全策略不仅能够保护企业,还能为其创造价值。他们更有可能意识到网络安全要素对企业应对市场机遇、推动转型和创新步伐所带来的积极影响。与其他企业的不同之处在于,网络安全成熟型企业在以下三个关键领域做出了卓然不同的表现。 •他们迅速采用新兴技术,并利用自动化手段协调其网络安全技术和简化流程工作 •他们具备针对性的网络安全策略以管理复杂的攻击面,包括云、本地和第三方 •他们已将网络安全融合到组织的三个层面,包括高管团队、全体员工和网络安全团队 识别网络安全成熟型企业 为了识别在网络安全方面表现更好的组织,我们定义了关键成果指标,包括客观和主观指标: 平均检测时间(MTTD)、平均响应时间(MTTR)、事件数量、组织内部的网络安全整合工作以及网络安全对创新和创造价值的影响。 通过统计建模,我们识别出两类群体——网络安全成熟型企业(高绩效组织)和网络安全发展中企业(低绩效组织),前者占研究样本的42%,后者占研究样本的58%。 第一章采用新兴技术:在简化中实现安全 ——急于构建网络技术堆栈将会导致技术杂乱,应采用最有效的工具降低复杂性 近年来,网络安全工具和应用程序在先进性、速度和有效性等方面都有所提高。据Pitchbook称,这在一定程度上是由大量投资推动的。从2010年至2022年,全球在网络安全领域的投资达到1.3万亿美元,复合年增长率为16.6%。 研究表明,新技术实施浪潮即将到来,84%的组织处于将两种或多种新技术整合至现有网络安全解决方案套件的早期阶段。但讽刺的是,安全措施的规模和复杂性限制了可见性,对有效的网络安全构成了极大的威胁。安永全球和安永亚太区网络安全咨询主管RichardWatson表示:“技术环境越混乱,捕捉信号并快速解决问题就变得越发困难。” 将技术整合到单一平台并减少供应商产品的数量可简化技术集成,使监测数据更易凸显问题,并协助安全团队更高效地发现事件。 首席信息安全官需要改变企业引入网络安全技术的方式,制定整体的技术战略,使现有系统合理化,并满足云和生态系统合作伙伴关系等新兴业务的网络安全需求,并充分利用自动化技术。当前很多网络安全成熟型企业都遵循该策略管理其组织的网络安全。 有70%的网络安全成熟型企业认为自己是新兴技术的早期采用者,他们关注针对环境简化问题的先进解决方案,尤其是通过利用自动化技术来简化环境。相比网络安全发展中企业,他们更倾向于采用人工智能或机器学习(AI或ML)(62%vs45%)以及安全、协调、自动化和响应 (SOAR)(52%vs37%),或者正处于准备采用这些新兴技术的后期阶段。这使他们能够在整个组织范围内进行无缝防御,并对网络安全事件保持清晰的视野。 图片描述: 数据可视化展现了网络安全成熟型企业和网络安全发展中企业已经采用或正处于准备采用这些新兴技术的后期阶段的不同比率。 网络安全成熟型企业表示,他们的网络安全策略还与提高威胁应对能力有关(45%的人表示产生了积极影响)。然而,只有34%的网络安全发展中企业持相同观点,36%的企业认为他们的方法对其威胁应对能力产生了负面影响。尽管新兴技术增强了企业的能力,但网络安全领导者需要确保他们拥有简化的网络安全技术战略,以保障新兴技术的实施效果。因此,网络安全领导者应该: •简化和合理化现有网络安全技术,以降低运行总成本,并建立快速无缝运营的平台 •审查重复或集成度低的遗留系统,将其作为技术现代化的一部分 •采用简化和自动化的网络安全流程,而不是多个孤立的配置 •在不引入新风险或使整体技术环境复杂化的情况下,更快地采用新兴技术 •考虑采用自动化导向的解决方案,包括DevSecOps和SOAR •寻求联合外包和托管服务来简化基础设施、提高可见性并实现成本效益 能源企业面临分散的IT环境 我们的研究显示,从行业角度来看,能源企业在网络安全问题上面临较大的挑战,仅有35%的组织表示他们有能力应对未来的威胁,而在其他行业中这一比例达到48%。此外,相较于其他行业,能源企业更倾向于“使用的技术需经过尝试和测试”,并认为没有优先考虑新兴技术集成是内部网络安全最大的难题。只有22%的能源企业对其非IT员工采用的最佳实践感到满意。 安永能源全球网络安全主管ClintonFirth表示:“近年来,能源行业在网络安全方面加大了投资。作为重要的国家基础设施,能源行业不断收紧监管,加大合规管理力度,以确保其能够抵御网络攻击和故障。”“向可再生能源过渡的压力迫使人们从传统运营技术转向分布式网络,包括物联网(IoT)。现今网络安全技术产品已显著改进,可以帮助能源企业有效识别漏洞并开发关键控制,如特权访问管理、威胁检测和响应等。” 然而,该行业正面临重大的结构性挑战。石油和天然气公司是全球性的,但网络安全标准和法规却是本地化的。网络安全职能部门通常难以与控制运营资产的工厂经理进行有效协作,而原始设备制造商和传统运营技术环境也成为了变革过程中不可避免的障碍。 安永欧洲、中东、印度及非洲区的网络安全主管AlamHussain表示:“近年来,许多能源企业在网络方面的投资额和金融服务行业相近,但他们的IT环境更加分散,像蜘蛛一样,难以找到可覆盖所有网络风险领域的解决方案。” 第二章网络安全成熟型企业可覆盖整个攻击面 ——大规模使用云服务和更深入的供应链实践正在增加攻击面 “潜在攻击面太多”是企业网络安全策略中最常被提及的内部挑战。企业大规模向云计算和物联网(IoT)的过渡增加了网络漏洞的机会,而当今以生态系统为主导的业务方法在帮助推动价值的同时,也带来了重大的网络安全挑战。总而言之,53%的网络安全领导者认为当今的数字生态系统中不存在安全边界等概念。而其中最危险的是供应链,2021年有62%的系统入侵事件是由供应链导致的3。 图片描述: 数据可视化条形图显示了组织网络安全策略面临的最大内部挑战。 3威瑞森(Verizon)2022数据泄露调查报告 新兴技术正在制造新型攻击面 四分之三的研究对象认为云和物联网是未来五年最重要的技术风险。随着云计算的应用,攻击面呈指数级增长,组织应努力跟上技术不断变化的步伐。当组织在云和物联网上没有围绕云接口和环境进行充分的网络安全设计和规划时,这些技术的快速变革有可能使组织面临数据丢失、泄露和业务中断的风险。为了应对这种复杂性,组织需要利用自动化解决方案。例如,半数以上来自网络安全成熟型企业的首席信息安全官表示,他们的组织目前正使用或处于实施云协同和自动化的后期阶段,以实现网络安全。 此外,企业不能假定所有的网络安全风险都由云供应商来处理。安永网络安全咨询合伙人CarolynSchreiber表示:“云安全是一项(多方)共担的责任,尤其是在身份验证和访问控制方面。我们经常遇到配置错误的情况,并建议进行更多的安全设置,而不仅仅是将责任提升和转移给云端。在进行安全设置时,需要考虑的关键领域包括权限访问管理以避免特权提升、机密管理和横向移动。根据我们从客户那里得到的反馈,最安全的组织会详细阅读合同条款,并倾向于要求他们的云服务提供商(CloudServiceProvider,CSP)支持与组织规定的相同或同等的安全标准。通过内部团队和云服务提供商之间形成责任共担,企业在不增加云平台和容器安全控制风险的情况下实现技术过渡。” 网络风险量化是一个新兴领域,通过自动化和数据分析可以提升风险洞察力并帮助确定风险优先级。当前,执行委员会和董事会正在就网络和数字风险提出更多问题,网络安全领导者应积极与利益相关者进行业务对话,并以货币价值来解释网络风险,这比传统的技术更新更有效,并且能够做出更明智的决策。 美洲区,亚太区,欧洲、中东、印度及非洲区的大规模云和网络风险 亚太区的研究对象(81%)更倾向于将大规模云视为最易引发网络安全威胁的技术之一(相较于美洲区74%,欧洲、中东、印度及非洲区63%)。亚太区的监管机构针对云服务的使用许可审批进程较慢,这可能导致该地区在采用云服务方面存在滞后现象,或者在向云过渡的信心方面落后于欧美地区。 另一方面,欧洲、中东、印度及非洲区(49%)更加重视人工智能和移动互联网技术带来的风险(相较于美洲区38%,亚太区34%)。