公司动态
公司动态 行业资讯 媒体报道 技术服务
2023全球网络安全调研报告
发布时间:2023-06-22 阅读: 分享

2023 我们准备好了吗?       


  

Ivanti从2022年10月开始,调研了包括中国在内的全球超过6500名管理层领导、网络安全专业人员和办公人员。我们研究的目标是:了解企业当今面临的网络威胁,并从安全专业人员以及行政领导和所有其他办公人员的不同视角,分析并研究企业是否已经为未来可预见的各种网络威胁和攻击做好正确和恰当的准备。


图片


   

一、2023网络安全热点            


  • 网络安全业内人士认为2023年的首要威胁是什么?
  • 企业准备应对哪些已知和未知的网络攻击?
  • 我们调查的专业人士认为,网络钓鱼、勒索软件和软件漏洞是行业层面的首要威胁。当比较公司所经历的实际攻击时,网络钓鱼和软件漏洞以数倍的速度超过了其他风险。
  • 尽管威胁多种多样,但很大一部分受访者表示,他们已经准备好应对日益增长的威胁形势。大约有一半的人说他们 "非常准备好 "面对各种威胁--包括勒索软件、不良加密、软件漏洞和内部员工风险
  • 新的热点--供应链的脆弱性。只有42%的人说他们为防范供应链威胁做了很好的准备,尽管46%的人称其为高级威胁;但是,面对此类风险,企业的准备程度明显滞后于威胁本身的程度。

       图片


   

二、2023网络安全预算趋势            


  • 网络安全预算不断增长,以应对更大、更具破坏性的威胁

  • 2023年的平均预算增长预计为11%--远高于同期的预计通胀水平

  • 在我们调查的安全专家和领导人中,71%的企业预测2023年他们的网络安全预算会增加--平均来说,会增加11%。根据人力资源管理协会的数据,这大约是2023年预期预算增长的三倍。

  • 同时,"人才短缺 "是最大的挑战,39%的受访企业提到了这一点。这也印证了许多其他研究的结果,包括ISC2最近的一份报告,发现2022年全球网络安全劳动力的短缺比2021年增加了26.2%,全球亟需增加340万专业网络安全人员才能有效保护企业资产。

               图片

   

三、身份和访问管理流程           


  • 几乎所有的人都说他们有一个正式的IAM流程,大多数人(68%)说离职员工的账户冻结或注销流程是在三个工作日内完成的。(对于外部供应商,81%的人说这个过程发生在5个工作日内)。
  • 更为突出的是。45%的受访者表示,他们怀疑前雇员和承包商仍有对公司系统和文件的有效访问权--无论是因为没有正确地遵循账户管理流程指南,还是因为第三方应用程序在证书失效后仍提供隐藏的访问权。
  • "大型企业往往没有考虑到应用程序、平台和第三方服务的巨大生态系统,它们在雇员离职后仍授予访问权,"Ivanti首席产品官Srinivas Mukkamala博士说。我们把这些称为 "僵尸证书",大量的安全专业人员--甚至是领导层--仍然可以访问前雇主的系统和数据,令人震惊。


图片


   

四、漏洞风险优先级排序                       


  • 当每个补丁都是高优先级时,等于没有补丁是优先的

  • 补丁管理被 “一切都很紧急”的心态所困扰

  • 92%的人当被问及哪些类型的补丁被优先考虑时回答:安全专家告诉我们,所有类型的补丁都排名靠前--也就是说--没有一个补丁是“真正优先”的。

图片


   
五、供应链安全越来越受到关注       

  • 企业数字化转型--以及来自高度互联的供应链的所有效率--带来了巨大的供应链风险。

  • 由于今天的供应链是高度互联的,对一个合作伙伴(例如第三供应商)的威胁构成对整个供应链的威胁。CISO和他们的安全组织正在急于识别加固供应链的漏洞,但大多数仍然严重滞后。
  • 在Ivanti的研究中,不到一半的人(47%)表示他们能够确认软件供应链中最脆弱的第三方系统和组件,35%的人计划在未来12个月内解决这一风险,46%的企业将2023年的供应链威胁评为 "高 "或 "关键"。


图片


   
六、基于云的风险被夸大了? 


  • 超过三分之二(68%)的人说他们的系统由于采用了基于云的系统和/或存储而变得更加安全
  • 换句话说,尽管人们误认为基于云的系统使公司面临高于可接受的网络安全风险,但我们调查的高管和安全专家在权衡风险和机会后认为基于云的环境提供了更大的安全性。
  • "确保积极和安全的数字员工体验是现代IT的新基石,"Pure Storage首席技术官AndyStone说。"通过安全有效地利用云,企业可以让员工在任何地方和任何设备上工作。在这个数字化世界里,如果不能实现向云计算的安全进化,将在很大程度上阻碍公司的发展。"

图片


   

七、企业高层--网络钓鲸的趋势                   


  • 鲸鱼网络钓鱼是指网络威胁使用定制的网络钓鱼技术来追逐 "鲸鱼"--重要的、高价值的目标,如首席执行官等企业高层。
  • 一旦“鲸鱼”被攻破,攻击者可以获得敏感信息,授权电汇。成功的网络钓鲸活动比传统的网络钓鱼企图要大得多,但许多组织仍然没有将其作为一种独特的、重大的威胁来对待。
  • 与我们调查的其他员工相比,近九成的领导(如首席执行官、副总裁和董事)表示,他们已经准备好识别和报告工作中的恶意软件和网络钓鱼等威胁。而且,他们更有可能已经联系了安全团队,提出了问题或担忧。
  • 这些都是好迹象;然而,我们的研究表明,领导者更可能报告与安全团队的负面互动,他们的误报率较高。此外,组织领导人的日常习惯是更令人担忧的一件事情。

图片


探究与思考:


  • 企业网络安全状况是否真的如此糟糕?以至于20%的CISO不愿意用一块Kit Kat®巧克力棒--大约2美元--来赌他们的网络安全状况?
  • 当一个组织雇用了正确的人员,购买了正确的技术,采用了所有正确的流程和程序--但却不愿意对他们的IT安全进行简单的承诺时,到底出了什么问题?
  • 在我们的网络安全准备状况研究系列中,我们调查了超过6550名专业人员,以更好地了解组织所面临的严重障碍--从新出现的网络安全威胁和紧张的预算,到组织用于保护的技术和流程的层次。此外,我们还从3个角度--公司领导层、安全专业人员和知识工作者--来看待这个问题。
  • 我们的目标是:弄清楚为什么安全领导层既对自己的准备工作持乐观态度(他们确实如此),但又不愿意用Kit Kat®棒来做赌注--以及他们如何能够重新制定有效、主动的网络安全战略和实践。



上一篇:保护你的信息流,从“头”开始 上一篇:360安全卫士团队版 | 实现企业网络终端防护与高效管理 返回列表
13905190502 南京市玄武区洪武北路188号长发数码大厦11楼E座
友情链接
百度 网络安全和信息化委员会 FreeBuf网络安全行业门户

分享:
Copyright © 2020-2022 南京明科网络科技有限公司 版权所有  苏ICP备2021002458号-1
技术支持:飞酷网络