CISO 报告 ： 2022 年及以后的前景 ， 挑战和计划

CISOS报告 2022年及以后的前景、挑战和计划 TABLEOFCONTENTS 赞助3 INTRODUCTION4 方法5 关键发现6 详细的发现8 TheStateofA<unk>airs:今天vs.aYearAgo8 能力,关注and局限性10 PlansfortheNextYear+18 零Trust移动从炒作to现实20 IdentityastheNew周长22 云andAPI关注23 What's上the购物名单?26 不确定性,与更多ofthe相同27 Respondent人口统计28 关于我们的赞助商29 CISO顾问委员会33 研究中心团队37 赞助 INTRODUCTION 首席信息安全官(CISO)的角色已经在 过去十年，随着网络威胁的多样化和扩散。随着IT现在不可或缺业务和任务运营的各个方面，CISO在 正在进行的战斗，以确保他们的组织免受无休止的攻击。 鉴于攻击面和威胁环境变化的速度有多快，它可以 CISO面临着跟上本国境外正在发生的事情的挑战。 为了提供帮助，这项研究提供了CISO长期以来一直要求的那种见解- 将他们的情况和经验与他人作比较；从他们的 同行正在做和计划做;并验证想法并获得可靠的数据来证明在这些领域的投资。 方法 Thisstudyusedatwo-partmethodology.Firstwasaquantitativesurveythatis 在私营和公共部门工作的CISO委员会的指导下设计美国、加拿大、欧洲、澳大利亚和亚洲的组织。受访者 通过与CISOConnect的直接关系和经过良好筛选的小组招募。我们收到411份来自受访者确认为CISO或CISO- 相当广泛的行业部门。所有回复都是匿名的。 此外，我们与董事会成员进行了深入的讨论，以获得关于他们作为CISO捍卫其组织的经验的详细观点 猖獗的网络威胁。这些人特别以他们强大的技术而闻名 和业务敏锐度。您将发现来自以下方面的见解和最佳实践建议在整个报告中。 关键发现 1.战斗没有缓和。勒索软件、网络钓鱼/鱼叉 网络钓鱼和供应链攻击在威胁列表中名列前茅最关注CISO。绝大多数CISO看到 威胁形势比一年前更糟糕；75%的人认为fiRM在此期间至少被击中一次，但与five一样多一次造成物质损害的网络攻击。中期- 大型组织尤其首当其冲，有67.5%的拥有1,000至4,999名员工的组织和 62.2％有5,000至10,000名员工受到打击造成物质损失的多次攻击。然而，没有 组织是安全的免受攻击。 2.CISO认识到当前的局限性。他们感到更加肯定fi他们检测网络攻击的能力，而不是预防或响应他们还在努力量化网络安全 领域，从他们计划的投资回报率到整体fi财务风险，甚至是事件的累积影响。 3.供应链脆弱性导致的广泛风险， CISO担心。合作伙伴和供应商是必不可少的所有企业和组织的成功运作 typesandsize,worldwide.However,ourrespondentsreport 第三方是需要克服的最大安全风险。跟踪不 远远落后：未打补丁的软件/系统，云安全方面的差距覆盖范围，以及IT管理员的配置fi配置错误。给定 与我们的专家委员会的对话，我们希望看到物联网/IIoT在不久的将来会将此列表向上移动。 4.API和数据发现和分类fi是主要的 进一步关注。CISO对最需要的IT组件进行评级作为API的安全性改进(在使用中已经爆炸式增长过去2-3年)、云应用(SaaS)和云基础设施 （IaaS）。他们认为最需要的安全流程 改进包括数据发现和分类fi阳离子、数据备份 &recovery和DevSecOps。这些列表反映了IT部门的变化随着戏剧性升级而发生的景观 远程工作、云采用、BYOD和不断变化的开发实践。 5.外部影响引起最大的担忧。的影响导致CISO最担心的网络攻击是暴露 PII或其他敏感数据，以及关键基础架构的停机时间或基本服务。这些地区中断的后果 在组织的墙外有最广泛的影响。 对它们的担忧远远超过了诸如fi财务损失之类的内部影响，合规行动或中断的操作。缺乏熟练的安全性 人员和太多的数据来管理是什么限制CISO从建立更好的安全防御。 6.零信任是一个东西.忘记炒作周期，CISO表示实施或增强零信任模型是 接下来的12个月。近79%的人表示他们已经在实施，另有18%的人正在积极规划。 7.对简化和精简有浓厚的兴趣。The顶级功能和特性CISO正在寻找 购买新的安全解决方案易于部署和轻松 使用。随后是高fi可靠性警报和分析，以及 自动化.TheseareallcapabilitiesthatwillhelpbusyCISOand 安全团队可以更快地完成更多正确的事情。不是这样重要的是成为单一提供商更广泛平台的一部分。 8.顶级预期安全投资映射到最新趋势。将升级的预计支出与新支出相结合时实现，在顶部出现的安全技术 接下来的12个月包括网络/微细分、容器安全和安全服务边缘(SSE)平台。 详细的发现 节目的状态：今天与一年前 我们通过询问受访者如何看待当前的威胁开始了我们的探索与一年前相比。不幸的是，但也许并不令人惊讶， 事情没有改善。 与一年前相比，这最好地描述了你对网络的感知水平您的组织当前面临的威胁？ 2% 18% 12% 19% 49% 显著更好有什么更好的关于相同的有些多么糟糕 Significantlyworse Figure1.PerceptionofThreatLandscape-presentvs.1year 近十分之七的受访者认为现在的威胁形势比 那是一年前。这是一个发人深省的统计数据，尽管这样的看法可能至少是在某种程度上影响了一个组织的最后一次打击时间和由此产生的水平 impact.Inthatcase,manyrespondentswouldseemtohavebeenhitrecently.Just12% 的受访者认为威胁情况有所改善。有可能 一年前的勒索软件热可能只降低了一点，导致了这一点感知。或者，人们可能只是被太多勒索软件标题麻木了。 不管怎样，世界现在正卷入一场与一场积极性很高的战斗中- 武装的对手准备利用任何机会或分心。乌克兰- Russiaconfitiscertainlyhaveanimpact.ourdatacollectionbeginningjustaweek 在我们进行fiNishing之前，受访者是 这表明，conflict正在促使攻击出现显著上升-无论是由于网络战的实际情况，或者寻求利用的机会主义攻击者 这种破坏性事件。 同样在过去的一年里，近一半的受访者经历了 两次和five次之间的攻击，十分之一的人经历了比five次更多的攻击。只有一个“幸运”的受访者没有受到攻击的实质性损害。再次注意 这是向后看的数据，反映了在地缘政治之前的情况。乌克兰的混乱。 在过去的12个月中，您的组织受到了多少次影响造成物质损失的网络攻击？ 4% 9% 21% 无“Idefinitelythinkit’sgetting 更糟糕的是，尤其是 48% 18% Once 2到5次超过5次 保密/无法回应 地缘政治环境和一切正在进行我们看到了 很多战斗将会 在网络空间中战斗。" -ChristineVanderpool,IT副总裁战略、架构与安全, 佛罗里达水晶公司 图2.过去12个月造成物质损害的网络攻击次数 中型组织仍然是最富有成果的 威胁行为者的目标，我们也通过我们的 2021年勒索软件聚焦报告的研究。当然任何组织都不应将自己视为Signifi不足以保证攻击.然而， 专注于中端可能是因为较小 组织吸引攻击者的贵重物品较少，而最大的组织有更高的安全性 防御以保证他们的安全。 “自敌对行动开始以来在乌克兰，我看到一个 Signifi不能在探测中上升。似乎有一个伟大的 处理上的bot活动互联网正在寻找。" -JorgeLlano博士，CSO，纽约市房屋管理局 75.0% 84.8% 78.1% 90.0% 34.8% 43.5% 30.0% 小于 100-499 500-999 1,000-4,999 5,000-9,999 10,000-25,000 25,000+ 100名员工 雇员 雇员 雇员 雇员 雇员 雇员 图3.网络攻击导致材料损坏的百分比-按组织规模 从风险最大的行业来看，建筑和制造业 表现最差，分别有85%和79%经历过至少一次攻击 这造成了物质损害。这些部门在历史上没有得到很好的保护，这种区别似乎还在继续。零售业紧随其后，网上 购物环境尤其适合攻击。虽然不是最困难的 受到打击，受到严格监管的医疗保健（65.1%）和金融服务（63.6%）部门仍然面临着巨大的威胁环境。 施工与机械 85.0% 制造 78.6% 零售 77.3% TELECOM&TECH 76.9% HEALTHCARE 65.1% 金融服务 63.6% 专业服务 61.9% 图4.网络攻击导致材料损坏的百分比-按行业划分 当我们查看跨地理区域的数据时，这些数字反映了一般的IT 已经持续了几十年的成熟度曲线。北美在某种程度上更好形状，遭受的破坏性攻击比欧洲组织少22.5%，而且比亚洲太平洋fic同行低17.9%。 亚洲-太平洋 欧洲 82.7% 87.3% US-CANADA64.8% 图5.网络攻击导致材料损坏的百分比-按地区 “你可以购买最好的工具，并完美地部署它们，但你仍然可能受到攻击。所以你必须做好准备。你必须把你的灾难恢复写得很好。 您的业务连续性计划非常非常重要。您必须进行桌面练习” -ChristineVanderpool，佛罗里达水晶公司IT战略、架构与安全副总裁 能力、关注和限制 我们要求受访者对他们的实力进行自我评估-也许 没有那么强-当涉及到应对网络攻击时。可以理解的是，预防 考虑到威胁的数量和不断演变，费率最低（5个中的3.66个）。如何一个组织认为它可能追踪的改进防御的空间很大 它最近的攻击经验造成了物质损失，以及他们看到的威胁穿透了他们的防御。 检测攻击更具挑战性，因为要知道你没有 detectunlessanduntilitmanifestsintosomethingharful.Whilerespondentsrate 他们在这一领域的能力最高(3.88)，这可能稍微高估了他们的实际表现。响应和恢复是最有洞察力、最理解的地方 和控制是可能的。然而令人惊讶的是，CISO在这里评价他们的能力几乎相等 （3.68）预防。大多数CISO应该已经具有业务连续性和灾难恢复计划准备就绪；去年勒索软件攻击的激增可能是出于动机组织加强其准备和响应/恢复能力。然而，CISO 显然，他们在这方面还有很长的路要走。 在1（最低）到5（最高）的范围内，对组织的能力进行评级： 防止网络攻击 3.66 检测网络攻击3.88 对网络攻击的回应和恢复 3.68 图6.网络攻击缓解能力-按生命周期阶段划分 “随着物联网的到来，越来越多的设备即将到来，将会有更多的感谢到5G。攻击面正在增加。人们在任何地方插入任何东西。” -CISO，大型制造公司 “我们看到的是，威胁参与者已经想出了一种方法来触发所有你的环境。如果你把所有这些链接在一起，你会发现你有恶意 activity.Now,aswelookatitasablueteamorredteamexercise,welookatallofthelower-level 正在发生的活动警报，看看我们是否可以解释它是未经授权的还是恶意的。 —LesMcCollum，芝加哥大学医学中心执行董事兼信息安全首席执行官 量化网络安全投资的回报仍然是一个变幻莫测的衡量标准 没有发生的事情的成本是一个长期存在的CISO挑战。因素分析信息风险(FAIR)方法是标准化 信息安全和操作风险的国际模型。也有更大的 保险精算师试图量化他们所涵盖的内容的参与(或 否认)。尽管如此，我