阅读: 13
一、引言
本篇报告涵盖两年来收集的网络评估数据,覆盖15个国家和近十几个行业。每项评估都包含对七个不同安全领域的组织评估,共有312个数据点。
根据数百项客户评估汇编的网络安全数据,数据来自:
二、研究方法
最后,根据收集的客户特征对数据进行汇总和进行进一步处理,根据统计并分析趋势和结果。CYE公司的数据科学家和安全研究人员对结果进行了仔细研究,确定和验证报告内容的准确性。
三、评分系统
四、行业定义
五、总体结论
- 金融部门遭到的网络攻击的数量不断增加,金融稳定面临威胁,网络风险成为决策者关注的首要问题。除此之外,法规和财务损失问题促使许多公司实施了网络安全措施,所以银行和金融科技等金融部门情况良好。
- 然而零售业和公共行业的平均得分较低,原因可能在于拥有实体店和在线业务的零售商没有把网络安全问题当成首要任务。此外,许多零售企业更注重速度,而不重视安全问题。依赖客户的公共部门没有其他选择,因此没有优先考虑安全问题。此外,他们可能难以吸引合格的安全专业人员。
- 中小型组织的网络安全成熟度得分最高。中型组织知道他们别无选择,只能将网络安全作为优先事项,而且他们有资源用于投资网络安全解决方案。然而小型组织的攻击面很小,可以由小型安全团队管理。大型组织成熟度较低,对如此之大的攻击面进行防御十分具有挑战性。
- 美国、英国和德国在网络安全领域投入较多,但得分却没有居榜首,这说明投资多并不一定能建立较高的成熟度。成熟度较低的原因可能是缺乏适当的网络安全风险量化和成熟度战略规划。总而言之,即使在网络安全方面投入较少,如果计划和支出得当,组织也可以达到较优的成熟度。
- 挪威在大多数领域得分最高。挪威的首个国家网络安全战略于2003年出台,挪威成为世界上首个在网络安全领域制定国家级战略的国家之一。随着威胁形势的发展,2007年和2012年修订了国家战略。得分正是例证。
- 墨西哥公司在一半的领域得分最低。墨西哥没有建立国家网络安全计划,而是鼓励私营部门独立实施自我调控措施,以此抵御网络攻击。部分研究显示,墨西哥是公共和私营部门遭到网络攻击次数最多的拉丁美洲国家。
- 毫无疑问,金融公司在向客户提供的交易应用程序中,必须实施最高级别的黑客攻击防御和盗窃保护措施。现代金融公司高效的在线交易经常会使用到用户的敏感数据以及用户的银行账户。一旦发生网络攻击或出现安全漏洞,所有敏感信息都将面临风险。
- 零售公司的得分为1.45,十分低,这些公司正在迅猛发展,特别是在新冠疫情的背景下,正努力适应快速增长趋势(尤其是电子商务)。因此,他们没有在公司的整体安全状态或应用程序级安全方面投入足够的时间、精力和资源。此外,为了保持自己的竞争力,零售商采用了新的支付和数字技术,因此成为网络犯罪分子的主要目标。
- 技术信息披露和详细的错误信息是该领域中普遍存在的漏洞。SQL曾是最主要的发现,现在排名最低,事实上,黑客已不再试图利用SQL。同样,XSS排名不低,但也不在前五位,趋势可能与SQL注入相同。
- 从地理位置来看,许多欧洲国家的得分相对较低。在实施了GDPR合规性的情况下得分仍低,情况令人惊讶。
- 风险和成熟度之间存在巨大的相关性。组织的网络安全实践达到高度成熟的水平时,就能够更好地发现并降低潜在的风险,进而使风险保持较低的水平。
- 五大最重要的发现十分基础,但不能忽略,其中有些被认为是多年来的主要问题。例如,“全球安全更新策略不充分”问题会导致漏洞再次出现,给攻击者制造机会,组织往往会忽略创建和实施更新策略的问题。组织可以通过投资缓解主要问题,显著提高成熟度。
- 通常得分较高的德国在跨组织政策、程序和管理方面得分排名第二,这说明德国实施了自上而下的网络安全方法。
- 东南亚组织在该领域的得分十分低(1-1.5)。这可能与该地区不太成熟的监管有关,相比之下,实施了GDPR的欧洲国家监管水平较高。
- 高风险维护程序漏洞(即许可管理)是所有组织都会面临的挑战,组织需要在保持较高的网络安全水平的同时,还要努力有效维护机器和服务。
- 身份管理和远程访问安全领域解决了攻击者最常用和最易利用的情况,但也为组织提供了机会,组织可以快速进行改进。事实上,能源和技术是相对较新的行业,其成熟度迅速提高,可以成为该领域的引领者。
- 前五大问题十分常见且基本,弱密码问题在近32%的组织中排名第一。
- 弱密码策略和弱身份认证机制的组合增强了攻击者的能力,使攻击者没有必要再进行攻击。攻击者只需登录即可。添加到“对包含敏感信息的网络共享的允许访问规则”中时,攻击者可以在几乎没有影响的情况下访问敏感数据。
- 能源领域处于领先。石油和天然气公司是关键的基础设施,成为国家支持的网络犯罪分子的头号目标,这些公司别无选择,只能提高成熟度。
- 阿联酋为1分,得分最低,可能是对这一问题缺乏认识。迪拜卧龙岗大学表示,美国、英国和澳大利亚于1998年初制定了身份验证相关的法律和政策,而阿联酋几年前才开始研究这一问题。直到2012年,阿联酋才制定了《网络犯罪法》,该法仍然没有具体解决身份盗窃和IAM问题。
网络安全这一概念所包含的内容庞大且全面,其中包括硬件和软件解决方案,以及与网络使用、可访问性和整体威胁保护相关的流程或规则和配置。
网络安全涉及访问控制、病毒和防病毒软件、应用程序安全、网络分析、网络相关安全类型(端点、网络、无线)、防火墙、VPN加密等。
- 科技公司在网络及安全领域的情况并不好,十分令人惊讶。科技公司雇佣了精通技术的人员,但由于网络安全配置工作较为低级和普通,技术人员往往不愿处理和维护这一问题。此外,科技公司更倾向于实现发展目标,忽视网络安全的整体地位。所以,网络安全问题的责任往往落在经验不足的人员身上,导致该行业得分低于标准。另一个因素是跨组织的长期效应。人们倾向于专注于特定团队和子网络,更快地完成工作,而不愿意为更好的结果进行跨组织协作。
- 墨西哥公司的得分最低。《墨西哥金融系统网络安全状况》报告分析了墨西哥金融部门的网络安全情况,仅33%的公司使用加密控制和端点安全工具,仅54%的公司使用网络安全工具(VPN、NAC、ISE、IDS/IPS、Web过滤、安全电子邮件等)。
- 服务业在网络安全领域排名第一,十分出乎人们意料。主要原因可能是客户促使供应商将高级安全措施作为开展业务的先决条件。
- 该领域的最新结论显示,新冠疫情对此产生了影响。新冠疫情迫使人们远程工作,更多地依赖于互联网。
SOC团队的目标是通过技术解决方案和强大的流程分析、检测和应对网络安全事件。安全运营中心通常配备安全分析师、工程师,以及监督安全运营的经理。
SOC与组织事故响应团队密切合作,确保发现安全问题后迅速解决。
SOC监控和分析网络、服务器、端点、数据库、应用程序、网站和其他系统上的活动,发现可能表明安全事件或危害的异常活动。
SOC确保正确发现、分析、防御、调查和报告潜在的安全事件。
- 安全操作监控和事件响应领域需要时间投入和战略投资,无法快速优化,必须综合利用技术、人员和流程进行改进。金融业明显处于领先位置,他们始终坚持减少响应时间,尽快遏制导致资金损失的网络事件。其他行业逐渐将监测作为优先事项,我们预测差距将在几年内缩小。
- 克罗地亚排名第一,令人惊讶。2020年,美国在萨格勒布建立了新的网络安全行动中心和移动网络事件应对小组。此外,2022年,美国网络司令部历史上首次部署了一支由精英防御网络运营商组成的团队,前往克罗地亚,追踪合作伙伴网络中的恶意网络活动。消息发布之际,中欧和东欧国家高度警惕俄乌战争相关的网络攻击。因此,克罗地亚过去几年意识不断增强,投入学习和投资,因此获得了高分。
- 监测应该是第二道防线,而组织错误地将其视为第一道防线。零售业就是其中的例子,零售业排名第二,但在总体排名中较为靠后。组织应警惕被动的方法,在优先考虑监控策略前对保护政策和技术进行适当投资。
- 令人惊讶的是,医疗是拥有最敏感的个人信息的行业之一,但医疗领域排名最低。这表明,即使在我们委托最敏感信息的组织中,对个人信息问题的认识也严重不足。“未删除文件共享中的敏感数据”是最常见的问题之一,文件共享问题是整个领域的薄弱环节。
- 就地理位置而言,许多必须遵守GDPR的欧洲国家仍然没有达到应有的网络安全水平。
- 我们注意到,与其他领域相比,该领域的成熟度得分相对较高。主要是因为法规(GDPR、CISA等)的出台,这些法规将数据安全视为其他网络安全要求的基础。
- 技术过时是一大挑战,影响整个安全领域。
- 我们可以看到,小型组织的得分最高(2.55)。在端点安全领域,小企业在应用严格的规则、轻松执行方面要容易得多。
- 挪威得分最高,挪威增加了数字防御支出,降低关键IT基础设施面临俄罗斯国家支持的网络攻击的风险。在网络攻击增加和安全态势评估更新之后,威胁级别上升,这与挪威对乌克兰的军事和贸易支持有关。
六、建议
- 为能力投资,而非工具,打好基础。组织经常在工具方面进行投资,这将导致更大的攻击面,但没有更强的能力。寻找通过将技术、人员和流程相结合来用能力取代工具的提供商,管理组织风险,使组织能够重新掌控其网络弹性。
- 制定具有董事会级别问责制的网络安全综合方法。董事会必须参与公司网络政策的决策。这是管理层了解保护公司所需的风险和财务投资水平的唯一途径。
- 深入评估状况,量化风险,根据数据优先考虑缓解措施。为了正确地确定缓解措施的优先级并分配资源,组织需要了解风险。发现来自所有攻击面的威胁,评估与组织相关的漏洞和结论,找到危害关键业务资产的方式,加大在网络风险量化方面的投入。考虑关键资产的财务背景,使用统计数据评估资产违约的可能性。围绕这些数据规划缓解措施,为解决根本原因问题的全面解决方案进行投资。
原文链接:https://pages.cyesec.com/hubfs/Reports/Cybersecurity_Maturity_2023.pdf