CISO 报告 ： 2022 年及以后的前景 ， 挑战和计划

CISOS报告 2022年及以后的前景、挑战和计划 TABLEOFCONTENTS 赞助3 INTRODUCTION4 方法5 关键发现6 详细的发现8 事态：今天与一年前8能力、关注和限制10 明年的计划+18 零信任从炒作走向现实20 作为新范围的身份22云和API问题23 购物清单上有什么？26 不确定性，更多的相同27负责的人口统计28 关于我们的赞助商29 CISO顾问委员会33 研究团队37 赞助 INTRODUCTION 首席信息安全官（CISO）的角色在过去十年中发生了显著变化，随着网络威胁的多样化和蔓延。由于信息技术现已渗透到业务和使命运营的每一个方面，CISO们在持续的战斗中承担着保护组织免受不断涌现的攻击的巨大责任。 给定攻击面和威胁环境变化之快，CISO们往往难以跟上境外发生的情况。为了帮助他们，本研究提供了CISO们长期寻求的洞察——用于将自己的情况和经验与他人进行基准比较；学习同行正在做什么以及计划做什么；以及验证想法并获得坚实的数据以证明在这些领域进行投资的合理性。 方法 本研究采用了两部分的方法论。首先进行了一项定量调查，该调查得到了美国、加拿大、欧洲 、澳大利亚和亚洲私营及公共部门组织中的首席信息安全官（CISO）咨询委员会的指导。受访者通过直接与CISOConnect建立的关系以及经过严格筛选的样本库招募。我们共收到了411份来自识别为CISO或CISO等同职位的受访者的问卷完成资料，涵盖了广泛的行业领域。所有回应均为匿名。 此外，我们与董事会成员进行了深入讨论，以获取他们作为CISO在防御组织面临肆虐的网络安全威胁时的经验见解。这些个人以其强大的技术能力和商业洞察力而闻名。您将在本报告中找到他们提供的见解和最佳实践建议。 关键发现 1.战斗没有缓和。勒索软件、钓鱼/高级钓鱼攻击以及供应链攻击位居最令CISO们担忧的安全威胁之首。绝大多数CISO认为当前的威胁环境比一年前更加严峻；75%的受访者表示在过去的一年中至少遭受过一次导致实质性损害的网络攻击，最多甚至达到五次。中型组织尤其受到影响，其中67.5%的组织拥有1,000至4,999名员工，而62.2%的组织拥有5,000至10,000名员工，并且这些组织多次遭受导致实质性 损害的攻击。但是，没有组织可以免受攻击。 2.CISO认识到当前的局限性。他们对自己的能力更有信心，能够在检测到网络攻击后进行响应，而不是预防或应对这些攻击。他们在量化网络安全领域方面也面临挑战，包括其举措的回报率、整体财务风险，甚至是一系列事件的累积影响。 3.供应链脆弱性导致的广泛风险引起了CISO的担忧。合作伙伴和供应商对于各类规模的企业和组织的成功运营至关重要，全球范围内都是如此。然而，我们的受访者报告称第三方是最大的安全风险。紧随其后的是未打补丁的软件/系统、云安全覆盖的缺口以及IT管理员配置错误。根据与我们专家委员会的讨论，我们预计物联网/IoT工业物联网（IIoT）将在不久的将来上升到这份名单上。 4.API和数据发现和分类是进一步关注的首选。CISO们认为最需要安全改进的IT组件包括APIs（在过去2-3年使用量急剧增加）、云应用程序（SaaS）和云基础设施（IaaS）。他们认为最需要改进的安全流程包括数据发现与分类、数据备份与恢复以及DevSecOps。这些列表反映了随着远程工作、云采用、BYOD以及开发实践变化而发生的IT景观的重大转变 。 5.外部影响引起最大的担忧。网络安全攻击对CISO们造成最大担忧的影响包括个人identifiable信息（PII）或其他敏感数据的泄露，以及关键基础设施或基本服务的停机时间。这些领域中断的后果影响范围最广，远远超出组织本身。人们对这些问题的担忧远超过内部影响，如财务损失、合规行动或运营中断。缺乏足够的安全专业人员和需要管理的数据过多是限制CISO们建立更强大安全防御的主要因素。 6.零信任是一个东西.忽略hype周期，CISO表示，在未来一年内，实施或增强零信任模型是顶级的安全优先事项。近79%的受访者表示他们已经开始实施，而另有18%的受访者正在积极规划这一过程。 7.对简化和精简有浓厚的兴趣。当CISO在购买新的安全解决方案时，他们最看重的能力和特性是部署简便性和易用性。其次是高精度的警报和分析，以及自动化功能。这些能力将帮助忙碌的CISO和安全团队更快地完成更多重要的工作。相比之下，来自单一提供商的更广泛的平台并不是那么重要。 8.顶级预期安全投资映射到最新趋势。 当将升级的预计支出与新实施的支出合并计算时，在接下来的12个月内，安全技术中表现最为突出的包括网络/微分割、容器安全以及安全服务边缘 （SSE）平台。 详细的发现 事态：今天与一年前 我们从询问受访者当前威胁景观与一年前相比的情况开始探索。不幸的是，或许也不令人意外，情况并未得到改善。 相较于一年前，您认为目前您的组织面临的安全威胁水平如何描述最为恰当？ 2% 18% 12% 19% 49% 显著更好 有什么更好的关于相同的有些多么糟糕 Significantlyworse Figure1.PerceptionofThreatLandscape-presentvs.1year 近70%的受访者认为当前的威胁landscape比一年前更为严重。这是一个令人警醒的统计数据，尽管这种感知可能至少在一定程度上受到组织上次遭受攻击的时间以及由此产生的影响程度的影响。在这种情况下，许多受访者似乎最近受到了攻击。只有12%的受访者认为威胁landscape有所改善。有可能去年勒索软件热潮有所降温，从而导致了这种感知。或者，人们可能只是被太多关于勒索软件的新闻报道麻木了。 无论具体情况如何，世界各国现在正与一个高度动机化、装备精良且善于利用任何机会或分心之人的对手进行斗争。乌克兰-俄罗斯冲突无疑产生了影响。我们的数据收集工作开始于冲突爆发前的一周，到我们完成时，受访者已经表明冲突正在导致攻击活动显著增加——无论是由于直接引发的紧张局势还是其他原因。网络战的实际情况，或希望利用这种破坏性事件的机会主义攻击者。 在过去一年中，几乎一半的受访者经历了两次至五次攻击造成的实质性损害，而十分之一的受访者经历了超过五次的攻击造成的实质性损害。只有五分之一的“幸运”受访者没有遭受任何攻击导致的实质性损害。请注意，这些数据是回顾性的，反映了在乌克兰地缘政治动荡之前的情况。 在过去的12个月中，您的组织受到造成物质损失的网络攻击影响的次数有多少次？ 我确实认为情况正在变得更糟，尤其是在地缘政治环境以及世界上发生的一切背景下。我们看到许多战斗将在网络空间展开。 -ChristineVanderpool，佛罗里达水晶公司IT战略、架构与安全副总裁 自乌克兰冲突开始以来，我注意到探查活动显著增加。似乎互联网上存在大量的机器人活动，在进行探测。 -JorgeLlano博士，纽约市住房管理局CSO 4% 9% 21% 18% 48% NONEONCE 2到5次 超过5次 保密/无法回应 图2.过去12个月造成物质损害的网络攻击次数 中型企业继续成为威胁行为者最富有成效的目标，这也通过我们对2021年的研究得到了证实。焦点报告中的勒索软件.certainly任何组织都不应该认为自己的重要性不足以保证攻 击。然而，专注于中端市场可能是由于较小组织的价值较 低，难以吸引攻击者，而最大组织拥有更强大的安全防护来保护自己。 75.0% 84.8% 78.1% 90.0% 34.8% 43.5% 30.0% 小于 100-499 500-999 1,000-4,999 5,000-9,999 10,000-25,000 25,000+ 100名员工 雇员 雇员 雇员 雇员 雇员 雇员 图3.网络攻击导致材料损坏的百分比-按组织规模 在最易受风险影响的行业领域中，建筑和制造业表现最差，分别有85%和79%的企业经历了导致实质性损害的至少一次攻击。这些行业历来防御能力较弱，这一趋势似乎仍在继续。紧随其后的是零售业，尤其是在线购物环境特别容易遭受大量攻击。虽然不是受影响最严重的行业，但医疗保健（占比65.1%）和金融服务（占比63.6%）行业仍面临严峻的威胁环境。 施工与机械 85.0% 制造 78.6% 零售 77.3% TELECOM&TECHHEALTHCARE 65.1% 76.9% 金融服务 63.6% 专业服务 61.9% 图4.网络攻击导致材料损坏的百分比-按行业划分 当我们审视不同地理区域的数据时，数字反映出一条持续了数十年的一般信息技术成熟度曲线。北美地区状况稍好，遭受的破坏性攻击比欧洲组织少22.5%，比亚太地区的同行少17.9%。 亚洲-太平洋 欧洲 美国-加拿大 图5.网络攻击导致材料损坏的百分比-按地区 64.8% 82.7% 87.3% 你可以购买最佳工具并完美部署它们，但仍可能遭受攻击。因此，你需要做好准备。你的灾难恢复计划必须写得非常详细。业务连续性计划至关重要。你必须进行桌面演练。 -ChristineVanderpool，佛罗里达水晶公司IT战略、架构与安全副总裁 能力、关注和限制 我们要求受访者对自己在应对网络攻击时的优势和可能较弱之处进行自我评估。预防措施显然得分最低（3.66/5），这反映了威胁的数量及其不断演变的特点。一个组织认为自身防御能力改进的空间有多大，可能与其近期遭受实质性损害的攻击经验以及他们所看到的渗透其防御系统的威胁数量有关。 检测攻击更具挑战性，因为除非并直到攻击表现为有害行为，否则难以确定未检测到的内容 。尽管受访者在这一领域的能力评估最高（3.88），这可能略微高估了他们的实际表现。而在响应和恢复方面，才有可能获得最多的见解、理解和控制。然而令人惊讶的是，CISO们在此方面的能力评分几乎与预防相同（3.68）。大多数CISO应该已经准备好业务连续性和灾难恢复计划；去年勒索软件攻击的激增很可能促使组织加强其准备和响应/恢复能力。然而，CISO们显然觉得自己在这个领域仍有改进的空间。 在1(最低)到5(最高)的范围内，对组织的能力进行评级： 3.66 3.68 防止网络攻击 检测网络攻击 3.88 对网络攻击的回应和恢复 图6.网络攻击缓解能力-按生命周期阶段划分 随着物联网的发展，越来越多的设备将会出现。得益于5G技术，设备数量将会大幅增加。攻击面正在扩大，人们会在任何地方接入任何东西。 -CISO，大型制造公司 我们观察到威胁行为者找到了一种方法，在整个环境中触发低级别的警报。如果将所有这些活动串联起来，你会发现存在恶意行为。当我们作为蓝队或红队进行演练时，我们会审视所有正在进行的低级别活动警报，以判断是否存在未经授权或恶意的行为。 -LesMcCollum，芝加哥大学医学中心执行董事兼首席信息安全官 量化网络安全投资的回报仍然充满不确定性，因为衡量未发生的成本一直是CISO面临的长期挑战。信息风险的因素分析（FAIR）方法论是对国际信息安全和运营风险模型进行标准化的一种可信尝试。同时，保险精算师也更加积极参与，试图量化他们所覆盖的内容（或拒绝覆盖的内容）。然而，我们仍然远远没有达到一个普遍接受的测量标准。 受访者对量化事件累计财务影响的能力的评价最高，但在三个能力中仍然只有3.33分（满分为5分）。在具体事件结束后，如果组织愿意投入数学计算的努力，这些数字是可以计算出来的。CISO的工作最终取决于保持组织的网络安全，他们可能对该数字不那么感兴趣——或者相反地，可能会将其视为证明未来预算增加的机会。 在1(最低)到5(最高)的范围内，对组织的以下能力进行评级： 投资的定量回报 网络安全倡议的(ROI) QUANTIFY网络安全财务条款中的风险 量化累积财务 网络安全事件的影响 3.33 3.17 3.11 图7.用金融术语量化网络安全的能力 数字转型的