2023網絡安全成熟度報告:弱密碼依舊排名第一
發布時間:
2023-04-25
來(lái)源:
全球數字化給企業帶來(lái)一個直觀的安全風(fēng)險是攻擊面正在持續擴大(dà)。根據CrowdStrike Falcon Surface公開的數據顯示,企業雲環境中暴露的資産中有30%存在嚴重漏洞,針對企業的勒索攻擊、APT攻擊、數據洩露等安全事(shì)件(jiàn)越來(lái)越多,網絡攻擊方式也趨向複雜化、利益化。
與之相(xiàng)對應的是,企業安全團隊必須防禦更多的漏洞,更多的威脅,以及未來(lái)指數級增長的網絡攻擊複雜性和資源投入的限制性。
而日(rì)益嚴峻的網絡攻擊也讓引入市場的網絡安全解決方案的數量,企業安全預算顯著增加。在同一時期,脆弱性也急劇(jù)增加,由此導緻的安全漏洞激增導緻了巨大(dà)的商業損失,包括前所未有的财務和聲譽損失,突出了組織轉變網絡安全方法的必要性。
在2023網絡安全成熟度報告,強調了哪些行業和國(guó)家擁有最強大(dà)的網絡态勢,哪些是滞後的,以及最普遍的漏洞;并且還(hái)研究了不同行業、國(guó)家和公司規模的得(de)分(fēn),并就(jiù)如(rú)何實現更好的網絡姿态提供建議(yì)和最佳實踐。
一、總體(tǐ)情況
該報告收集的數據超過2年(nián),共150個國(guó)家、幾十個行業,在七個不同的安全領域對組織進行評估。這些領域構成了一個整體(tǐ)的網絡安全戰略。在保護組織内部的關鍵資産方面,每個領域都(dōu)扮演着不同的角色。
注:七個領域分(fēn)别是數據安全;政策、程序和治理(lǐ);IAM;監控和事(shì)件(jiàn)響應;網絡安全;端點安全;應用程序安全性。
主要結果如(rú)下圖所示:
金融領域不斷上升的網絡攻擊數量對金融穩定構成威脅,并使網絡風(fēng)險成爲政策制定者關注的重點。除此之外,合規和對财務損失的擔憂促使許多公司實施網絡安全措施,這些都(dōu)是銀行和金融科(kē)技得(de)分(fēn)較高的原因。
零售業和公共行業的平均得(de)分(fēn)較低。其中的原因,大(dà)概是實體(tǐ)店(diàn)&網店(diàn)的企業不認爲網絡安全是優先事(shì)項,此外對服務的速度要求超過網絡安全。公共部門(mén)依賴其客戶,沒有其他(tā)選擇,因此沒有優先考慮安全問(wèn)題;此外,他(tā)們可(kě)能很難吸引到合格的安全專業人(rén)員(yuán)。
中小企業/組織獲得(de)了最高的網絡安全成熟度得(de)分(fēn)。中型組織更重視網絡安全,并将它作(zuò)爲優先事(shì)項,往往會投入更多的資源在網絡安全解決方案。小企業/型組織攻擊面更小,隻需由一個小的安全團隊即可(kě)成功地管理(lǐ)。而非常大(dà)的組織成熟度低的原因是,難以防禦如(rú)此龐大(dà)的攻擊面。
盡管美國(guó)、英國(guó)和德國(guó)在網絡安全支出方面有慷慨的預算,但(dàn)它們得(de)分(fēn)并沒有最高,這說(shuō)明大(dà)量的金融投資并不總是轉化爲高成熟度水平。成熟度較低的具體(tǐ)原因,可(kě)能是缺乏适當的網絡安全風(fēng)險量化和成熟度戰略規劃。反之,即使沒有龐大(dà)的網絡安全預算,隻要合理(lǐ)規劃和支出,企業也可(kě)以實現卓越的成熟度。
挪威在大(dà)多數領域中得(de)分(fēn)最高。挪威于2003年(nián)制定了第一個國(guó)家網絡安全戰略,使挪威成爲全球在這一特定領域制定國(guó)家戰略的首批國(guó)家之一。随着網絡攻擊威脅的發展,又在2007年(nián)和2012年(nián)修訂了國(guó)家戰略,這也是其得(de)分(fēn)較高的原因。
墨西哥公司得(de)分(fēn)最低。墨西哥沒有國(guó)家網絡安全計(jì)劃,鼓勵私營部門(mén)獨立引入自(zì)我監管計(jì)劃,試圖防範網絡攻擊。此外,根據一些研究,墨西哥被列爲拉丁美洲國(guó)家,大(dà)多數公共和私營部門(mén)成爲網絡攻擊的目标。
以下是各行業和國(guó)家成熟度曲線分(fēn)布圖:
二、應用安全
應用安全指的是應用級的安全措施,旨在防止應用中的數據、代碼被黑(hēi)客獲取、劫持。其中涉及應用開發、設計(jì)階段的安全考量,以及在應用部署後對其進行保護的産品和措施。簡單來(lái)說(shuō),應用安全是應用在開發流程中加入、測試安全功能的過程,防止應用出現安全漏洞和風(fēng)險。
各個國(guó)家在應用安全維度的得(de)分(fēn)如(rú)下:
各行業得(de)分(fēn)如(rú)下:
最常見(jiàn)的五大(dà)問(wèn)題如(rú)下:
金融企業得(de)分(fēn)最高,這點符合大(dà)家的認知。金融企業應用常爲客戶提供交易服務,因此安全防護水平一直保持在較高水準。金融企業獲取的一般都(dōu)是高敏感數據,并與用戶銀行賬号存在關聯,倘若這些數據出現洩露的問(wèn)題,那麽将會給企業帶來(lái)嚴重打擊。
零售公司得(de)分(fēn)最低,隻有可(kě)憐的1.45。這是因爲最近幾年(nián),特别是三年(nián)疫情期間,零售行業正在快(kuài)速增長,而在網絡安全上卻沒有投入足夠多的資源和人(rén)力,導緻其整體(tǐ)應用安全狀态處于較低的地位。尴尬的是,零售行業因數字化而增長,卻也因數字化成爲網絡攻擊的重點目标,由此給行業帶來(lái)嚴峻的網絡攻擊安全風(fēng)險。
技術(shù)信息洩露和SQL漏洞依舊是應用安全領域最爲常見(jiàn)的威脅,事(shì)實上,關于SQL漏洞利用,黑(hēi)客們已經有了非常成熟的方法,并在給應用安全領域持續帶來(lái)傷害。
值得(de)一提的是,許多歐洲國(guó)家在這一領域的得(de)分(fēn)較低,這似乎和大(dà)家的認知有所不同,畢竟GDPR以嚴厲著稱,且已經施行的不短(duǎn)的時間。
三、IT安全治理(lǐ)
IT安全治理(lǐ)是企業/組織用來(lái)确保IT系統安全的措施。IT安全治理(lǐ)爲企業系統提供監督,确保安全風(fēng)險得(de)到充分(fēn)緩解,其安全策略往往和業務目标高度一緻,同時确保企業/組織符合相(xiàng)應的法律法規。
國(guó)家得(de)分(fēn)和概率最高的風(fēng)險點TOP5如(rú)下所示:
安全風(fēng)險和成熟度之間存在着巨大(dà)的相(xiàng)關性。當一個組織在其網絡安全實踐中具有高水平的成熟度,那麽就(jiù)有能力識别和減少系統中潛在的安全風(fēng)險,使得(de)系統在長時間内保持較低的安全風(fēng)險等級。
如(rú)上圖所示,IT安全治理(lǐ)風(fēng)險點top5都(dōu)是我們所熟知的方向,其中一些問(wèn)題甚至在20年(nián)前就(jiù)已經存在。例如(rú)"全局安全更新策略不足"就(jiù)會導緻漏洞反複出現,并爲攻擊者提供了一個低門(mén)檻攻擊途徑,即便如(rú)此,依舊有不少組織會忽視更新安全策略。
國(guó)家方面,得(de)分(fēn)最高的是德國(guó),反映了一種自(zì)上而下的IT安全治理(lǐ)方法,而東南(nán)亞地區在該領域得(de)分(fēn)較低,其中的原因或許是該地區網絡安全法規、監管體(tǐ)系不太成熟。
高風(fēng)險維護程序漏洞(權限管理(lǐ))是所有企業/組織共同面臨的風(fēng)險,因爲權限管理(lǐ)是IT安全治理(lǐ)的重要一環,是強化網絡安全必不可(kě)少的途徑。
四、身(shēn)份管理(lǐ)
身(shēn)份與訪問(wèn)管理(lǐ)也稱爲身(shēn)份管理(lǐ),是指用于管理(lǐ)數字身(shēn)份的IT安全規程、框架和解決方案。身(shēn)份管理(lǐ)包括身(shēn)份的提供與注銷、保護、驗證,以及訪問(wèn)資源、執行某些操作(zuò)的授權等。雖然一個人(rén)隻有一個數字身(shēn)份,但(dàn)他(tā)們可(kě)能有許多不同的賬戶。每個賬戶可(kě)以具有不同的訪問(wèn)控制。身(shēn)份管理(lǐ)的首要目标是确保任何給定的身(shēn)份都(dōu)可(kě)以訪問(wèn)正确的資源。
國(guó)家和行業得(de)分(fēn)如(rú)下所示:
身(shēn)份管理(lǐ)最常見(jiàn)的風(fēng)險點top5如(rú)下所示:
身(shēn)份管理(lǐ)是攻擊者在網絡攻擊中最常利用的方向,但(dàn)是它也給企業/組織提供了一個快(kuài)速改進的機(jī)會。能源和科(kē)技作(zuò)爲新興的行業,因而以一種十分(fēn)顯著的方式迅速提高了成熟度。
和之前的調查結果一樣,身(shēn)份管理(lǐ)最常見(jiàn)的風(fēng)險點top5是當下企業中十分(fēn)常見(jiàn)的場景。令人(rén)驚訝的是,弱密碼以32%的占有率排名第一。弱密碼策略與弱身(shēn)份驗證機(jī)制的組合讓黑(hēi)客入侵更加便捷,或者說(shuō)這樣的攻擊并不需要黑(hēi)客技術(shù),攻擊者隻需要登錄即可(kě)。而當訪問(wèn)權限“允許訪問(wèn)包含敏感信息”時,黑(hēi)客可(kě)以毫不費力氣地訪問(wèn)敏感數據。
能源企業/組織在該領域内得(de)分(fēn)最高,這是因爲石油、天然氣等企業一般是國(guó)家的關鍵基礎設施,随着關鍵基礎設施成爲敵對國(guó)家的重點攻擊目标,能源企業隻能拼命提高安全成熟度。
阿拉伯聯合酋長國(guó)僅僅獲得(de)1分(fēn),原因是缺乏對這個問(wèn)題的認知和重視。美國(guó)、英國(guó)和澳大(dà)利亞早在1998年(nián)就(jiù)制定了打擊身(shēn)份盜竊的法律和政策,而阿聯酋幾年(nián)前才開始研究這個問(wèn)題。直到2012年(nián),阿聯酋才制定了《網絡犯罪法》,該法律仍然沒有具體(tǐ)解決身(shēn)份盜竊和IAM問(wèn)題。
五、網絡安全
網絡安全保護企業網絡和數據免受破壞、入侵和其他(tā)威脅。這是一個龐大(dà)的、概括性的術(shù)語,它描述了硬件(jiàn)和軟件(jiàn)解決方案,以及與網絡使用、可(kě)訪問(wèn)性和整體(tǐ)威脅防護相(xiàng)關的流程或規則和配置。網絡安全涉及訪問(wèn)控制、病毒和防病毒軟件(jiàn)、應用程序安全、網絡分(fēn)析、網絡相(xiàng)關安全類型(端點、Web、無線)、防火(huǒ)牆、VPN加密等。
國(guó)家和行業得(de)分(fēn)如(rú)下所示:
網絡安全風(fēng)險點top5:
令人(rén)驚訝的是科(kē)技公司在這一領域表現不佳。雖然他(tā)們雇用精通技術(shù)的人(rén)員(yuán),但(dàn)這些員(yuán)工(gōng)往往回避處理(lǐ)和維護網絡級别的安全問(wèn)題,因爲裡(lǐ)面涉及到一些低級的、平淡無奇的工(gōng)作(zuò)。技術(shù)人(rén)員(yuán)更傾向于實現發展目标,從(cóng)而使網絡安全的總體(tǐ)狀況缺乏。這一責任往往落在經驗較少的人(rén)員(yuán)身(shēn)上,從(cóng)而給行業帶來(lái)不佳的評分(fēn)。另一個因素是,這是一個跨組織的長期努力,人(rén)們傾向于專注于他(tā)們特定的團隊和子網絡,以便更快(kuài)地完成工(gōng)作(zuò),而不是通過跨組織的總體(tǐ)努力來(lái)獲得(de)最好的結果。
國(guó)家方面,墨西哥得(de)分(fēn)最低。“墨西哥金融系統中的網絡安全狀況”報告分(fēn)析了墨西哥金融部門(mén)的網絡安全,隻有33%的公司使用加密控制和端點安全工(gōng)具,隻有54%的公司使用網絡安全工(gōng)具(VPN、NAC、ISE、IDS/PS、網絡通信、安全電子郵件(jiàn)等)。
服務業得(de)分(fēn)遙遙領先,盡管在網絡安全方面,它并不是人(rén)們所期望的領導者。主要原因可(kě)能是客戶正在推動供應商應用高級别的安全措施,并把它作(zuò)爲開展業務的先決條件(jiàn)。這一領域的主要發現強調了2019冠狀病毒病的影(yǐng)響,爲了允許遠(yuǎn)程工(gōng)作(zuò)新冠肺炎迫使許多環境變得(de)面向互聯網。
六、安全運營中心(SOC)
安全運營中心(SOC)是一個容納信息安全團隊的設施,該團隊負責持續監控和分(fēn)析組織的安全态勢。SOC團隊的目标是使用技術(shù)解決方案和一套強大(dà)的流程組合來(lái)分(fēn)析、檢測和響應網絡安全事(shì)件(jiàn)。安全運營中心通常配備安全分(fēn)析師(shī)和工(gōng)程師(shī),以及監督安全運營的管理(lǐ)人(rén)員(yuán)。SOC工(gōng)作(zuò)人(rén)員(yuán)與組織的事(shì)件(jiàn)響應團隊密切合作(zuò),以确保安全問(wèn)題一經發現即迅速得(de)到解決。安全運營中心監控和分(fēn)析網絡、服務器端點、數據庫、應用程序、網站(zhàn)和其他(tā)系統上的活動,尋找可(kě)能表明安全事(shì)件(jiàn)或安全漏洞的異常活動。SOC負責确保正确識别、分(fēn)析、防禦、調查和報告潛在的安全事(shì)件(jiàn)。
國(guó)家和行業得(de)分(fēn)如(rú)下所示:
安全運營中心風(fēng)險點top5:
安全行動監測和事(shì)件(jiàn)反應往往不能迅速改進,因爲它需要一段時間的戰略投資,它的改進必須來(lái)自(zì)于技術(shù)、人(rén)員(yuán)和過程的結合。金融行業依舊是該領域的領導者,因爲它們曆來(lái)投資于縮短(duǎn)響應時間,控制網絡事(shì)件(jiàn),并最終減少資金損失。随着網絡安全法規的健全,其他(tā)行業和金融行業的差距将會縮小。
國(guó)家方面,克羅地亞排名第一。2020年(nián),美國(guó)在薩格勒布建立了一個新的網絡安全運營中心和一個移動網絡事(shì)件(jiàn)響應小組。在2022年(nián),美國(guó)網絡司令部曆史上第一次部署了一支精英防禦網絡運營商團隊到克羅地亞,以尋找合作(zuò)夥伴網絡上的惡意網絡活動。這一努力是在中歐和東歐國(guó)家高度警惕與俄羅斯和烏克蘭之間的戰争有關的網絡攻擊的時候進行的。這些或許是克羅地亞在領域得(de)分(fēn)高的主要原因。
值得(de)一提的是,監控其實是第二道防線,但(dàn)組織錯誤地将其視爲第一道防線。這方面零售行業表示十分(fēn)明顯,組織應該警惕被動的網絡安全策略,并優先考慮在監控之前适當投資于保護性策略和技術(shù)。
七、敏感數據管理(lǐ)
敏感數據是個人(rén)或組織不希望公開的信息,例如(rú)個人(rén)的信用卡信息或醫療記錄,一旦被公開往往給企業和用戶帶來(lái)危害。當企業尋求保護敏感信息時,他(tā)們需要持續了解其複雜的生(shēng)态系統。随着數字化轉型戰略的加速,網絡安全和隐私變得(de)更加重要,實時了解新風(fēng)險,以快(kuài)速緩解威脅,并保護敏感數據對企業來(lái)說(shuō)将變得(de)更加重要。
國(guó)家和行業得(de)分(fēn)如(rú)下:
敏感數據管理(lǐ)風(fēng)險點top5:
令人(rén)驚訝的是,作(zuò)爲對個人(rén)信息最敏感的行業之一,醫療保健竟然排名最低。這表明該行業對個人(rén)信息問(wèn)題的認識嚴重不足,即使在我們委托提供最敏感信息的組織中也是如(rú)此。“沒有從(cóng)文件(jiàn)共享中删除敏感數據”是最常見(jiàn)的漏洞之一,表明文件(jiàn)共享是整個域中的薄弱環節。
國(guó)家方面,許多必須遵守GDPR法規的歐洲國(guó)家仍然沒有達到應有的網絡安全水平。但(dàn)值得(de)一提的是,與其他(tā)領域相(xiàng)比,敏感數據管理(lǐ)的成熟度得(de)分(fēn)相(xiàng)對較高。這主要得(de)益于法規(GDPR、CISA)方面的約束,這些法規将數據安全視爲所有網絡安全要求的基礎。
八、端點安全
端點安全是指爲解決網絡端點所面臨的威脅而采取的安全措施,網絡端點是指服務器、工(gōng)作(zuò)站(zhàn)、筆記本電腦和移動設備等設備。
國(guó)家和行業得(de)分(fēn)如(rú)下:
端點安全風(fēng)險點top5:
調查數據顯示,過時的技術(shù)是影(yǐng)響企業/組織整體(tǐ)網絡安全水平的一個重大(dà)挑戰。從(cóng)上圖中可(kě)以看(kàn)到,中小企業在該領域的得(de)分(fēn)最高,這是因爲在端點安全中有着諸多嚴格的規則,和大(dà)型企業相(xiàng)比,中小企業更容易執行這些規則。
國(guó)家方面,挪威獲得(de)了最高分(fēn),因爲它增加了數字防禦支出,以保護該國(guó)的關鍵IT基礎設施免受來(lái)自(zì)敵對國(guó)家網絡攻擊的風(fēng)險。尤其是在俄烏戰争中,挪威對烏克蘭進行軍事(shì)和貿易支持,導緻其面臨的網絡安全威脅上升,進一步增加了在該領域的投入。
九、總結
本報告介紹了CYE對網絡安全趨勢和最佳實踐的分(fēn)析結果。基于對可(kě)用數據的審查,得(de)出以下可(kě)增強任何組織内系統和數據安全性的建議(yì):
(1)投資于能力而不是工(gōng)具。企業/組織往往熱(rè)衷于投資工(gōng)具,這會帶來(lái)更大(dà)的攻擊面,而不是更多的能力,尋找一家供應商,通過将技術(shù)、人(rén)員(yuán)和流程相(xiàng)結合,以管理(lǐ)組織風(fēng)險并使組織能夠重新控制其網絡彈性,從(cóng)而用功能取代工(gōng)具。
(2)制定網絡安全董事(shì)會級别問(wèn)責制。董事(shì)會必須參與公司網絡網安的決策,這是管理(lǐ)層了解風(fēng)險和保護公司所需的财務投資水平的唯一方法。
(3)全面評估安全态勢,量化企業安全風(fēng)險,并根據數據優先考慮緩解措施。爲了正确地優先考慮緩解和分(fēn)配資源,組織需要了解自(zì)身(shēn)風(fēng)險。通過識别來(lái)自(zì)所有攻擊面的威脅,評估哪些漏洞和發現與企業/組織密切相(xiàng)關,以及漏洞、威脅對企業關鍵業務資産的威脅度,從(cóng)而實現網絡風(fēng)險量化。考慮關鍵資産的财務背景,并使用統計(jì)數據來(lái)估計(jì)這些資産遭到破壞的可(kě)能性。圍繞這些數據規劃緩解措施,同時投資于解決根本原因問(wèn)題的全面解決方案。
上一頁
上一頁
|
相(xiàng)關資訊
