您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [Kroll]:2023 年网络防御状态 : 检测和响应成熟度模型 - 发现报告
回到首页 AI搜索 发现报告 发现数据
发现专题
专题报告 专题百科
研选报告 定制报告 VIP 权益 付费社群
行业研究公司研究宏观策略财报招股书会议纪要Token低空经济十五五AIGC大模型

2023 年网络防御状态 : 检测和响应成熟度模型

信息技术 2023-09-26 Kroll 阿丁
报告封面

2023 年网络防御状态 : 检测和响应成熟度模型 目录 主要发现 … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … … … … … … … … … … … … … … … … … … … … …… … … … … … … … …03研制检测和响应成熟度曲线 … … … … … … … … … … … … … … … …04检测和响应成熟度模型 … … … … … … … … … … … … … … … … … …05感知问题 … … … … … … … … … … … … … … … … … … … … … … … ……06检测和响应成熟度的 ROI … … … … … … … … … … … … … … … … …07开拓者组织采取了哪些行动 ? … … … … … … … … … … … … … … … … …… … … … … … … …08威胁检测和响应能力 … … … … … … … … … … … … … … … … … …09网络成熟组织在哪里信任.. 。12改进检测和响应过程 … … … … … … … … … … … … … … … … …13走向真正的成熟15检测特征和响应成熟度 … … … … … … … … … … … … … … … … … … … …… … …16 关键发现 在我们之前的报告《2023年网络安全状态:信任的误报》中,对全球1,000名安全决策者的调查显示,组织对自己网络安全状况的信任水平与实现真正网络韧性之间的差距和不一致性。 研究结果引发了对 Businesses 是否真正准备好检测当今的网络攻击以及其事件响应策略的 robustness 的怀疑。本报告,《检测与响应成熟度模型》,借助 Kroll 对威胁环境的理解,剖析了安全领导者已实施的控制措施,并比较了他们认为的与实际的成熟度。 在我们深入研究检测和响应成熟度模型之前 , 简要回顾一下信任的假阳性: 信任显然是一个问题 :超过三分之一(42%)信息安全决策者报告说 , 缺乏信任是他们面临的最大挑战 ,95%不要觉得高级领导层信任他们的安全团队来保护他们的组织免受威胁。 信任也放错了地方 :信任员工阻止网络攻击(66%)排名高于安全团队识别和优先考虑安全漏洞的能力(63%), 数据警报的准确性(59%), 网络安全工具和技术的有效性(56%), 以及威胁情报数据的准确性(56%). 沟通不足是导致信任丧失的最常见原因,根据47%的信息安全决策者报告。 很难相信你不完全理解的东西 :While99%同意端点检测与响应(EDR)发挥关键作用,但调查结果显示对其实用功能的理解有限。22%的受访者认为 EDR 可以防止再感染和38%相信所有的反应都可以用 EDR 做出 , 这两者都不是完全准确的。 外包网络安全服务越来越受欢迎 :98%Of those that do not already outsource their security services have (or are considering) plans to do so. However,89%IT和安全决策者认为其安全团队与安全供应商之间的透明度需要得到改善。 多个安全工具无法解决问题 :平均使用平台的数量越高,组织经历的网络安全事件越多。事件的数量以及仅24%MDR 表明 , 拥有正确的工具而不是工具的数量是网络保护的重要因素。 建立检测和响应成熟度曲线 一个成熟的网络安全计划的标志是在能够迅速准确地检测威胁,并以最小化其潜在影响的方式自信地应对威胁。然而,真正具备网络安全成熟度和相信自己已经具备网络安全成熟度是两种截然不同的状态。 实际上,本报告调查的1,000名高级安全决策者所使用的安全方法和控制措施范围广泛。最值得注意的是真 cyber成熟度与感知 cyber 成熟度之间的差距。 超过九成(91%)的网络安全专业人士认为其企业在当前检测与响应成熟度方面“非常成熟”或“较为成熟”。进一步分析组织采取的保护措施时,这种自我报告的成熟度可能存在问题。数据显示,实际上非常少的企业达到了它们所认为的成熟水平。 我们对受访者进行了关于网络安全技术、策略和项目的系列问题调查。随后我们分析了他们的回答,并将他们置于不同的检测与响应成熟度阶段,从而形成了检测和响应成熟度模型。 此分析为企业提供了三个类别。那些网络成熟度低的人被放入新手类别 , 具有中等网络成熟度的类别被放入探险家小组和那些表现出高度网络成熟度的小组被放入开拓者类别。 开拓者 探险家 他们很可能利用各种威胁情报来源持续改进检测规则,主动搜索未知行为以发现网络攻击,或能够实时检测威胁。他们针对高严重性威胁采取多种应对措施,包括修复和数字取证。他们的网络安全计划中很可能拥有大量的工具集。 他们可能拥有有限的威胁情报访问权限,并能够创建一些自定义用例/规则以警报已知的网络攻击,同时使用多种工具检测高严重性威胁。他们的网络安全计划包含多个要素。 它们可能正在使用更为简单的收集和监控工具来检测网络攻击,并且可能没有任何应对高严重性威胁的行动措施,或将威胁监控与调查作为其唯一的防御手段。它们的网络安全计划中仅有几个要素。 我们将在这份报告中反复提及这些类别作为分析点,以显示那些已经将网络安全成熟度提升到高级阶段的企业在组织信任方面占据优势,并且这种成熟度所能带来的益处。 在第 16 页 , 您可以找到每个期限范围内公司的关键特征。 检测和响应成熟度模型 该模型显示,大多数受访者属于初级或探索者成熟度组别,而仅有极少量的企业是开拓者。 探索模型 我们创建了一个包含收入、行业和区域数据的交互式检测与响应成熟度模型。 转到 kroll. com / maturitymodel 感知问题 然而,难点在于对网络安全成熟度认知的巨大差距。如以下图表所示,认为自己在网络安全方面成熟的企业的比例与实际网络成熟度高的企业之间存在显著差异。 探索者小组的组织报告自己“非常成熟”的比例较低(13%),相比而言,开拓者或初学者组织的比例较高。 此外,43%被归类为初级组的人员认为他们的检测和响应措施非常成熟,无需进一步改进。这表明领先探索者组的成员对什么是网络安全成熟有更深刻的认识。 检测和响应成熟度的 ROI 我们在信任的假阳性在过去一年中,企业平均经历了五起重大安全事件,这些事件导致了数据泄露或财务影响。根据Ponemon 研究所在 2023 年 , 数据泄露的平均成本达到了 445万美元 (百万) 的历史新高。 图3展示了检测与响应成熟度组平均经历的安全事件数量。Trailblazer组织的安全事件数量显著较少。此外,图4展示了每个成熟度组中在过去一年内未发生任何重大数据泄露的组织所占的百分比。结合重大数据泄露的高成本,这表明从初学者或探索者转变为Trailblazer可以实际为业务每年节省数百万美元。 开拓者组织采取了哪些行动 ? 网络安全保险 只有23%的受访组织拥有网络保险。最低成熟度组的组织这一比例降至7%。大多数先行者组织(51%)拥有保险,这表明成熟的组织了解网络保险的好处。 网络安全服务外包 几乎三分之八(79%)的开拓者组组织外包了部分网络安全服务。这一比例明显高于探索者组(52%)和新手组(34%)。有趣的是,“非常成熟”的组织更有可能仅采用内部解决方案(34%),而“不太成熟”和“一点也不成熟”的组织这一比例为16%。 这表明利用外部网络安全团队的专业知识可以帮助处理大量复杂网络威胁的时间紧张团队提高可见性。 威胁检测和响应能力 一个稳健的检测和响应策略由以下元素组成,按照从基础到高级的顺序列出: 不幸的是 , 只有 3 % 的组织具有上述所有威胁检测和响应功能他们的网络安全计划中的元素。 令人担忧的是,五分之一的组织(20%)仅具备基本的网络安全监控措施,而没有进一步的流程。 图6显示,大多数企业仅实施了基础的网络安全实践,如网络安全监控。更重要的是,自我报告网络安全成熟度高的企业也更可能仅实施网络安全监控。这进一步表明了企业对真实网络安全成熟度与自我认知之间的差距。此外,那些自我报告网络安全成熟度低的企业实际上已经具备相当完善的网络安全检测和响应能力。 当审视组织如何检测网络攻击时,这一叙述继续展开。大多数组织采取的检测网络攻击的措施仅被视为“最不成熟”的行动之一,因此显然存在改进的空间。 网络成熟组织在哪里信任 如报告中信任的假阳性安全团队通常更信任员工以避免成为网络攻击的受害者(66%),而非关注网络安全警报的准确性和工具的有效性。 然而 , 当从网络成熟度的角度来看数据时 , 统计数据会被翻转。 对于Trailblazer集团的公司而言,员工被信任的程度最低(54%),而对网络安全工具有效性的信任度最高(69%)。 这支持这样的观点,即网络安全成熟组织认识到,与安全团队或使用的技术相比,员工是一个更难以控制的变量。 改进检测和响应流程 清晰度的重要性 正如所有网络安全活动一样,建立有效的系统管理流程至关重要。 总体而言,所有企业都认为其应对安全事件、漏洞管理和威胁检测与响应的过程较为清晰或非常清晰。然而,从成熟度分组来看,探路者组的企业更有可能感到其系统过程较为清晰或非常清晰。这在下方的图表中有所体现,展示了对过程的清晰性和沟通的需求,以便能够快速检测、保护和响应。 测试 , 测试 , 一二三 超越明确性,过程测试是成熟检测与响应策略的另一项关键组成部分。虽然某些法规要求每年对网络安全实践进行测试,但这一频率应被视为最低标准。不断变化的威胁 landscape要求企业在更频繁的时间间隔内测试其检测与响应流程。 以下是 Trailblazer 组的企业比 Novice 和 Explorer 组更频繁地测试其应对安全事件的能力、漏洞管理以及威胁检测和响应能力的情况,如下图所示。 进一步地,99%的网络安全领导者承认他们可以更好地理解自己面临的信息安全风险,并认识到测试过程是提高企业对威胁的业务网络安全准备能力的一种方式。 走向真正的成熟 令人担忧的是,我们的研究结果表明组织的认知与现实之间存在显著差距,如我们在第6页所看到的。 而在确保长期业务安全这一普遍目标方面,我们的研究显示其实现和维持比预期要更具挑战性。主要原因之一是组织对自己网络安全策略、工具和团队有效性的误解。 不具备所有组织都拥有能够全面识别面临威胁范围的工具和流程,在许多情况下,检测能力尚未得到充分发展。只有少数组织积极追踪威胁行为,而大多数组织未能领先于网络攻击者或攻击途径。 另一个值得注意的缺失要素是有效的MDR解决方案,它可以提供全面的洞察力并增强应对威胁的能力。我们的研究中表现出的模糊性和缺乏洞察可以通过经验丰富的MDR提供商来消除。 进一步的研究发现是,将自身定位为较为成熟的组织往往更倾向于质疑自身的成熟度,或自我评价为尚未完全成熟。这表明,达到更高成熟度的关键要素之一是避免陷入成熟度陷阱。过度自信通过不断审查和更新网络安全策略和方法。与“网络安全幼稚症”不同,这种健康的“网络安全怀疑论”是组织在具有挑战性的威胁环境中维持其网络安全韧性的一个明显优势。它涉及质疑既定方法的意愿,并推动审查和更新工具及解决方案,同时得到可靠安全合作伙伴的支持。通过这种方式,组织可以成功地向真正的网络安全成熟度迈进。 不要忘记在线探索成熟度模型 ! 我们创建了一个交互式的检测与响应成熟度模型,按收入规模、行业和区域划分数据。 访问我们的网站 , 找出谁是最幼稚的网络 :kroll. com / maturitymodel 检测和响应成熟度的特征 开拓者 持续的检测改进 :采用以对手为导向的方法构建和更新检测规则,

点击免费查看完整报告