DIB网络安全成熟度报告 2024版 我们CEO的一句话 今天,在为我们的国防工业基地(DIB)和美国关键基础设施(CI)服务的中小型企业(SMB)中,有很多创新。他们的发明,想法和技术支持了先进的国防系统,这些系统使我们的国家在国内和世界各地保持安全。 实现网络安全成熟度模型认证(CMMC)合规性的公司无疑将成为更困难的目标-但这仅仅是开始。 防范这些网络攻击的方法是与CMMC建立合理的安全基线,然后以强化检测响应的思维和不懈的操作来缩小攻击面,不断监控威胁,并随时准备调查和响应。 ButareSMBstodayactivelytakingthesesteps?TobetterunderstandhowSMBsprotectthemselves,weinvestigated581ITpractorsatcompanieswith101to250employees,andforwhoasignificanportionoftheirbusinesscomesfromdefensecontrac 他们目前的网络安全状态,他们最大的安全挑战,他们与外包服务提供商合作的经验,以及他们目前对CMMC合规性的立场。为了帮助确保可操作的结果,我们忽略了受访者对他们的答案表示信心不足的所有数据,在我们的结果中留下了423个总的回复。 我们希望这些信息将帮助您了解行业目前在安全性方面的立场,并帮助您与同行进行基准测试。 克里斯·彼得森 RADICL联合创始人兼首席执行官 DIB网络安全成熟度报告|2024 关键发现 关键发现 以下是关于中小企业网络安全状况的九项重要发现。 1-61%的受访者表示,网络安全是一个非常高或非常高的优先事项。 75%的人有三个或更多的人致力于安全,67%的人认为他们的安全技能水平很高或很高。 2-61%的人报告说,在威胁调查中,有低到中的效能。 此外,56%的人报告在威胁监控方面的低至中等效能,54%的人报告在威胁搜寻方面的低至中等效能。 3-59%的人需要一周或更长时间才能检测到环境中的威胁。 此外,64%的人表示需要两天或更长时间才能对勒索软件或漏洞做出回应,39%的人对遭遇勒索软件攻击并不感到惊讶 。 4-46%的受访者表示,与网络安全相关的事件使他们的公司损失了100,001。 其中,12%的人报告费用超过500,001美元。 5-60%的人在过去一年有四个或更多的用户帐户或电子邮件被泄露。此外,59%的人在过去一年中有四个或更多的终点受损。 6-最大的安全挑战是实施和维护对法规的遵守,包括CMMC。 他们还面临着保护敏感数据免受泄露和泄露以及管理有限的预算和资源以实现全面的网络安全措施的挑战。 7-外包提供商面临的最大挑战是对安全问题和事件的响应时间不足。 其他挑战包括对合规性管理的支持有限,尤其是CMMC,以及交付的整体价值感觉太昂贵。 8-他们在新的服务提供商中寻找的顶级功能包括对DIB要求有深刻理解的人。他们还在寻找具有高质量和全面服务的提供商。 9-81%已经启动了CMMC合规流程。 然而,只有13%符合1级,11%符合2级。 2024版002 CONTENTS 06 第W1部分: 当前网络安全计划 19 第W2部分: 外包服务提供商 30 W3部分: 网络安全成熟度模型认证(CMMC)准备 34 W4部分: 未来战略和优先事项 39 第W5部分: DIB中SMB领导者的可操作Takeaway 我们调查的人简介: 方法学和参与人口学 为了提供围绕这些fidigs的更大背景,这里有更多关于我们调查的人和使用的方法的细节。从11月开始2023年1月1日,我们调查了581名公司的IT从业人员,这些公司的业务中有很大一部分来自与政府机构的国防合同。其中有158人表示,根据他们对IT环境和当今安全能力的了解,他们对调查的回答“不确定”或“不确定”。这些受访者被删除,剩下423名受访者。 哪个类别最能描述您在国防工业基地内的业务性质? 40% 30% 20% 10% C4ISR(指挥、控制、通信、计算机、情报、监视和侦察)系统生产 网络安全与信息系统 航空和飞机制造 电子和通信系统生产 国防服务和咨询 0% 40% 空间 先进材料和零部件生产 19% 13% 6% 5% 4% 4% 3% 2% 2% 海军和海事系统生产 武器和弹药制造 陆地系统和装甲车辆制造 您的业务中大约有多少百分比与国防合同直接相关? 小于10% 6% 51-75% 21% 10%到25% 18% 76-99% 14% 26至50% 36% 100% 6% 关于您的资金来源,以下哪一项最准确? 50% 17% 13% 11% 4% 3% None 我不确定我们的资金来源 我们自筹资金,从不筹集外部资金 我们从朋友和家人那里筹集资金 我们严格依赖银行贷款 我们已经筹集了风险投资 0%10%20%30%40%50% 10M至25M 37%· 你总共获得了多少风险投资? 小于10M 3% 10%超过51M 26M至50M 49%� 1% 无 你估计这个fiscal年的年收入是多少? 少于500万美元 4% $26M到$50M 27% $5M到$10M 17% $51M到$100M 20% $11M到$25M 25% 超过1.01亿美元 6% 您在这个fi规模年的IT预算估计是多少? 5% 小于100K 13% ·101K至250K 31% ·251K至500K 35% 501K至1M 11% �1.1MTO�2M 5% 超过2.1M 第W1部分 当前网络安全计划 在本节中,我们的受访者向我们介绍了网络安全计划的现状和面临的最大挑战。 61%的人说网络安全是非常高或高优先级 明年加强网络安全措施是一个主要优先事项,25%的人说这是一个非常高的优先事项,36%的人说这是一个高优先事项。23%的人说这是一个中等优先事项,只有9%的人说这是低的,7%的人说这是非常低的。 在接下来的12个月中,您将如何对加强组织网络安全措施的优先级进行排名? 1-非常低 7% 4-高 37% 2-低 9% 5-非常高 25% 3-中等 23% 44%的会议每月讨论网络安全 44%的人说他们的领导团队每月开会讨论安全问题,35%的人每季度开会讨论网络安全问题。7%的人 每年开会,5%的人从未开会。9%的人不确定频率。 您的执行领导团队多久开会讨论安全问题? 5% Never 44% 每月 35% 季度 7% 每年 9% 我不确定 75%的人有三个或更多的时间来确保安全 38%的人有四个或更多的人在安全上花费至少四分之一的时间,而37%的人有三个人这样做。12%的人有两个人在安全上花费至少四分之一的时间,6%的人有一个人,只有7%的人没有任何人。 您的团队中有多少人将25%以上的时间花在安全上? 0 7% 3 37% 1 6% 4+ 38% 2 12% 67%的比率他们的安全技能水平非常高或很高 在对内部安全团队的技能水平进行评级时,有28%的人对他们的技能水平评价很高,而39%的人对他们的技能水平评价很高。18%的人对他们的安全团队的技能水平评价为中等,8%的人对他们的技能水平评价为低,只有6%的人对他们的技能水平评价为很低。 哪个类别最能描述您在国防工业基地内的业务性质? 40% 30% 20% 10% 0% 非常低-6%低-8%中等-18%高-39%非常高-28% 59%的人愿意花一周或更长时间来检测他们环境中的威胁 受访者能够多快地检测到绕过防御系统并在其IT环境中运行的威胁?14%的受访者会在一小时内检测到,22%的受访者会在一天内检测到。对于32%,需要一周时间,对于13%,需要一个月时间。5%的人会在一年内检测到它,9%的人会在一年多的时间内检测到它。最后,5%的人不确定需要多少时间。 如果威胁绕过了您的防御,并在您的IT环境中运行,那么您能够多快地检测到它的存在? 一个小时 14% 一天 22% 一周 32% 一个月 13% 一年 5% 一年多 9% 我不确定 5% 0%10%20%30%40% 64%的人表示会花两天或更长的时间来回应随机MWARE或BREACH 如果受访者发生勒索软件或数据泄露事件,他们能够多快进行全面调查并制定全面的事件响应计划?对于15%,需要一个小时 ,对于另外15%,需要一天。29%的人说需要两到三天,21%的人说需要四到六天。对于14%,需要一周或更长时间。最后, 5%的人不确定需要多长时间。 如果您遇到勒索软件或数据泄露事件,您能够多快进行全面调查并制定全面的事件响应计划? 15% 15% 29% 21% 14% 5% 我不确定 7+天 4-6天 2-3天 1天 一个小时 0%10%20%30% 59%的人在过去的一年中有四个或更多的终点 只有5%的人说他们的端点在过去12个月中没有发生过病毒或恶意软件泄露。6%的人有一个端点被泄露,26%的人有2到3 个端点,27%的人有4到10个端点。23%的人说他们有11到19个端点,9%的人有20个或更多。最后,4%的人不确定他们有多少个泄露。 在过去的12个月中,贵组织的端点中有多少遭受过病毒或恶意软件泄露? 1 26% 2-3 27% 4-10 23% 11-19 9% 20+ 5% 无我不确定 60%的人在过去一年中有四个或更多的用户帐户或电子邮件 只有7%的人说他们的用户帐户或电子邮件地址在过去12个月中没有被入侵。5%的人有一个帐户被入侵,24%的人有两到三 个帐户,26%的人有四个到十个帐户。23%的人说他们有11到19个帐户,11%的人有20个或更多帐户。最后,4%的人不确定他们有多少妥协。 在过去的12个月中,贵组织有多少用户帐户或电子邮件地址遭到入侵? 5% 2-3 24% 4-10 26% 11-19 23% 20+ 11% None 7% 我不确定 4% 1 0%10%20%30% 39%的人不会感到惊讶地经历了随机的攻击 我们的受访者说,他们会惊讶地遇到以下情况-换句话说,他们知道它们可能存在安全漏洞或安全漏洞,从而导致: RANSOMWARE(39%) 运营中断(36%) 密码补偿(38%) 商业电子邮件妥协(36%的合作) 数据盗窃(37%) 终结点病毒/恶意软件(23%) 直接相关,他们会惊讶地体验到以下情况——换句话说,他们认为他们的安全能力在这些领域是安全的,所以妥协的可能性被认为是低的: 终结点病毒/恶意软件(77%) 数据盗窃(63%) 运营中断(64%关联) 密码补偿(62%) 商业电子邮件妥协(64%的合作关系) RANSOMWARE(61%) 总体而言,受访者表示,他们缺乏抵御勒索软件、密码泄露和数据盗窃的能力,而他们有能力抵御端点病毒或恶意软件、运营中断和业务电子邮件泄露。 如果您在接下来的12个月中遇到以下任何安全事件,您会感到惊讶吗? 77% 62% 64% 61% 63% 64% 38% 36% 39% 37% 36% 23% 密码妥协 商业电子邮件妥协 RANSOMWARE 数据THEFT 操作 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 终点 0% 病毒/恶意软件DisRUPTION YES NO 几乎有一半说与网络安全相关的事故已经造成了损失公司100K或更多 从经济角度来看,与网络安全相关的事件在损失时间,生产力或现金方面的成本是多少?对于6%来说,这没什么。但是 ,8%的人说不到10,000美元;19%的人说$10,001至$50,000;21%的人说 50,001美元至100,000美元;17%的人说100,001美元至250,000美元;17%的人说250,001美元至