全球数字化给企业带来一个直观的安全风险是攻击面正在持续扩大。根据CrowdStrikeFalconSurface公开的数据显示,企业云环境中暴露的资产中有30%存在严重漏洞,针对企业的勒索攻击、APT攻击、数据泄露等安全事件越来越多,网络攻击方式也趋向复杂化、利益化。
与之相对应的是,企业安全团队必须防御更多的漏洞,更多的威胁,以及未来指数级增长的网络攻击复杂性和资源投入的限制性。
而日益严峻的网络攻击也让引入市场的网络安全解决方案的数量,企业安全预算显著增加。在同一时期,脆弱性也急剧增加,由此导致的安全漏洞激增导致了巨大的商业损失,包括前所未有的财务和声誉损失,突出了组织转变网络安全方法的必要性。
在2023网络安全成熟度报告,强调了哪些行业和国家拥有最强大的网络态势,哪些是滞后的,以及最普遍的漏洞;并且还研究了不同行业、国家和公司规模的得分,并就如何实现更好的网络姿态提供建议和最佳实践。
一、总体情况
该报告收集的数据超过2年,共150个国家、几十个行业,在七个不同的安全领域对组织进行评估。这些领域构成了一个整体的网络安全战略。在保护组织内部的关键资产方面,每个领域都扮演着不同的角色。
注:七个领域分别是数据安全;政策、程序和治理;IAM;监控和事件响应;网络安全;端点安全;应用程序安全性。
主要结果如下图所示:
金融领域不断上升的网络攻击数量对金融稳定构成威胁,并使网络风险成为政策制定者关注的重点。除此之外,合规和对财务损失的担忧促使许多公司实施网络安全措施,这些都是银行和金融科技得分较高的原因。
零售业和公共行业的平均得分较低。其中的原因,大概是实体店&网店的企业不认为网络安全是优先事项,此外对服务的速度要求超过网络安全。公共部门依赖其客户,没有其他选择,因此没有优先考虑安全问题;此外,他们可能很难吸引到合格的安全专业人员。
中小企业/组织获得了最高的网络安全成熟度得分。中型组织更重视网络安全,并将它作为优先事项,往往会投入更多的资源在网络安全解决方案。小企业/型组织攻击面更小,只需由一个小的安全团队即可成功地管理。而非常大的组织成熟度低的原因是,难以防御如此庞大的攻击面。
尽管美国、英国和德国在网络安全支出方面有慷慨的预算,但它们得分并没有最高,这说明大量的金融投资并不总是转化为高成熟度水平。成熟度较低的具体原因,可能是缺乏适当的网络安全风险量化和成熟度战略规划。反之,即使没有庞大的网络安全预算,只要合理规划和支出,企业也可以实现卓越的成熟度。
挪威在大多数领域中得分最高。挪威于2003年制定了第一个国家网络安全战略,使挪威成为全球在这一特定领域制定国家战略的首批国家之一。随着网络攻击威胁的发展,又在2007年和2012年修订了国家战略,这也是其得分较高的原因。
墨西哥公司得分最低。墨西哥没有国家网络安全计划,鼓励私营部门独立引入自我监管计划,试图防范网络攻击。此外,根据一些研究,墨西哥被列为拉丁美洲国家,大多数公共和私营部门成为网络攻击的目标。
以下是各行业和国家成熟度曲线分布图:
二、应用安全
应用安全指的是应用级的安全措施,旨在防止应用中的数据、代码被黑客获取、劫持。其中涉及应用开发、设计阶段的安全考量,以及在应用部署后对其进行保护的产品和措施。简单来说,应用安全是应用在开发流程中加入、测试安全功能的过程,防止应用出现安全漏洞和风险。
各个国家在应用安全维度的得分如下:
各行业得分如下:
最常见的五大问题如下:
金融企业得分最高,这点符合大家的认知。金融企业应用常为客户提供交易服务,因此安全防护水平一直保持在较高水准。金融企业获取的一般都是高敏感数据,并与用户银行账号存在关联,倘若这些数据出现泄露的问题,那么将会给企业带来严重打击。
零售公司得分最低,只有可怜的1.45。这是因为最近几年,特别是三年疫情期间,零售行业正在快速增长,而在网络安全上却没有投入足够多的资源和人力,导致其整体应用安全状态处于较低的地位。尴尬的是,零售行业因数字化而增长,却也因数字化成为网络攻击的重点目标,由此给行业带来严峻的网络攻击安全风险。
技术信息泄露和SQL漏洞依旧是应用安全领域最为常见的威胁,事实上,关于SQL漏洞利用,黑客们已经有了非常成熟的方法,并在给应用安全领域持续带来伤害。
值得一提的是,许多欧洲国家在这一领域的得分较低,这似乎和大家的认知有所不同,毕竟GDPR以严厉著称,且已经施行的不短的时间。
三、IT安全治理
IT安全治理是企业/组织用来确保IT系统安全的措施。IT安全治理为企业系统提供监督,确保安全风险得到充分缓解,其安全策略往往和业务目标高度一致,同时确保企业/组织符合相应的法律法规。
国家得分和概率最高的风险点TOP5如下所示:
安全风险和成熟度之间存在着巨大的相关性。当一个组织在其网络安全实践中具有高水平的成熟度,那么就有能力识别和减少系统中潜在的安全风险,使得系统在长时间内保持较低的安全风险等级。
如上图所示,IT安全治理风险点top5都是我们所熟知的方向,其中一些问题甚至在20年前就已经存在。例如"全局安全更新策略不足"就会导致漏洞反复出现,并为攻击者提供了一个低门槛攻击途径,即便如此,依旧有不少组织会忽视更新安全策略。
国家方面,得分最高的是德国,反映了一种自上而下的IT安全治理方法,而东南亚地区在该领域得分较低,其中的原因或许是该地区网络安全法规、监管体系不太成熟。
高风险维护程序漏洞(权限管理)是所有企业/组织共同面临的风险,因为权限管理是IT安全治理的重要一环,是强化网络安全必不可少的途径。
四、身份管理
身份与访问管理也称为身份管理,是指用于管理数字身份的IT安全规程、框架和解决方案。身份管理包括身份的提供与注销、保护、验证,以及访问资源、执行某些操作的授权等。虽然一个人只有一个数字身份,但他们可能有许多不同的账户。每个账户可以具有不同的访问控制。身份管理的首要目标是确保任何给定的身份都可以访问正确的资源。
国家和行业得分如下所示:
身份管理最常见的风险点top5如下所示:
身份管理是攻击者在网络攻击中最常利用的方向,但是它也给企业/组织提供了一个快速改进的机会。能源和科技作为新兴的行业,因而以一种十分显著的方式迅速提高了成熟度。
和之前的调查结果一样,身份管理最常见的风险点top5是当下企业中十分常见的场景。令人惊讶的是,弱密码以32%的占有率排名第一。弱密码策略与弱身份验证机制的组合让黑客入侵更加便捷,或者说这样的攻击并不需要黑客技术,攻击者只需要登录即可。而当访问权限“允许访问包含敏感信息”时,黑客可以毫不费力气地访问敏感数据。
能源企业/组织在该领域内得分最高,这是因为石油、天然气等企业一般是国家的关键基础设施,随着关键基础设施成为敌对国家的重点攻击目标,能源企业只能拼命提高安全成熟度。
阿拉伯联合酋长国仅仅获得1分,原因是缺乏对这个问题的认知和重视。美国、英国和澳大利亚早在1998年就制定了打击身份盗窃的法律和政策,而阿联酋几年前才开始研究这个问题。直到2012年,阿联酋才制定了《网络犯罪法》,该法律仍然没有具体解决身份盗窃和IAM问题。
五、网络安全
网络安全保护企业网络和数据免受破坏、入侵和其他威胁。这是一个庞大的、概括性的术语,它描述了硬件和软件解决方案,以及与网络使用、可访问性和整体威胁防护相关的流程或规则和配置。网络安全涉及访问控制、病毒和防病毒软件、应用程序安全、网络分析、网络相关安全类型(端点、Web、无线)、防火墙、VPN加密等。
国家和行业得分如下所示:
网络安全风险点top5:
令人惊讶的是科技公司在这一领域表现不佳。虽然他们雇用精通技术的人员,但这些员工往往回避处理和维护网络级别的安全问题,因为里面涉及到一些低级的、平淡无奇的工作。技术人员更倾向于实现发展目标,从而使网络安全的总体状况缺乏。这一责任往往落在经验较少的人员身上,从而给行业带来不佳的评分。另一个因素是,这是一个跨组织的长期努力,人们倾向于专注于他们特定的团队和子网络,以便更快地完成工作,而不是通过跨组织的总体努力来获得最好的结果。
国家方面,墨西哥得分最低。“墨西哥金融系统中的网络安全状况”报告分析了墨西哥金融部门的网络安全,只有33%的公司使用加密控制和端点安全工具,只有54%的公司使用网络安全工具(VPN、NAC、ISE、IDS/PS、网络通信、安全电子邮件等)。
服务业得分遥遥领先,尽管在网络安全方面,它并不是人们所期望的领导者。主要原因可能是客户正在推动供应商应用高级别的安全措施,并把它作为开展业务的先决条件。这一领域的主要发现强调了2019冠状病毒病的影响,为了允许远程工作新冠肺炎迫使许多环境变得面向互联网。
六、安全运营中心(SOC)
安全运营中心(SOC)是一个容纳信息安全团队的设施,该团队负责持续监控和分析组织的安全态势。SOC团队的目标是使用技术解决方案和一套强大的流程组合来分析、检测和响应网络安全事件。安全运营中心通常配备安全分析师和工程师,以及监督安全运营的管理人员。SOC工作人员与组织的事件响应团队密切合作,以确保安全问题一经发现即迅速得到解决。安全运营中心监控和分析网络、服务器端点、数据库、应用程序、网站和其他系统上的活动,寻找可能表明安全事件或安全漏洞的异常活动。SOC负责确保正确识别、分析、防御、调查和报告潜在的安全事件。
国家和行业得分如下所示:
安全运营中心风险点top5:
安全行动监测和事件反应往往不能迅速改进,因为它需要一段时间的战略投资,它的改进必须来自于技术、人员和过程的结合。金融行业依旧是该领域的领导者,因为它们历来投资于缩短响应时间,控制网络事件,并最终减少资金损失。随着网络安全法规的健全,其他行业和金融行业的差距将会缩小。
国家方面,克罗地亚排名第一。2020年,美国在萨格勒布建立了一个新的网络安全运营中心和一个移动网络事件响应小组。在2022年,美国网络司令部历史上第一次部署了一支精英防御网络运营商团队到克罗地亚,以寻找合作伙伴网络上的恶意网络活动。这一努力是在中欧和东欧国家高度警惕与俄罗斯和乌克兰之间的战争有关的网络攻击的时候进行的。这些或许是克罗地亚在领域得分高的主要原因。
值得一提的是,监控其实是第二道防线,但组织错误地将其视为第一道防线。这方面零售行业表示十分明显,组织应该警惕被动的网络安全策略,并优先考虑在监控之前适当投资于保护性策略和技术。
七、敏感数据管理
敏感数据是个人或组织不希望公开的信息,例如个人的信用卡信息或医疗记录,一旦被公开往往给企业和用户带来危害。当企业寻求保护敏感信息时,他们需要持续了解其复杂的生态系统。随着数字化转型战略的加速,网络安全和隐私变得更加重要,实时了解新风险,以快速缓解威胁,并保护敏感数据对企业来说将变得更加重要。
国家和行业得分如下:
敏感数据管理风险点top5:
令人惊讶的是,作为对个人信息最敏感的行业之一,医疗保健竟然排名最低。这表明该行业对个人信息问题的认识严重不足,即使在我们委托提供最敏感信息的组织中也是如此。“没有从文件共享中删除敏感数据”是最常见的漏洞之一,表明文件共享是整个域中的薄弱环节。
国家方面,许多必须遵守GDPR法规的欧洲国家仍然没有达到应有的网络安全水平。但值得一提的是,与其他领域相比,敏感数据管理的成熟度得分相对较高。这主要得益于法规(GDPR、CISA)方面的约束,这些法规将数据安全视为所有网络安全要求的基础。
八、端点安全
端点安全是指为解决网络端点所面临的威胁而采取的安全措施,网络端点是指服务器、工作站、笔记本电脑和移动设备等设备。
国家和行业得分如下:
端点安全风险点top5:
调查数据显示,过时的技术是影响企业/组织整体网络安全水平的一个重大挑战。从上图中可以看到,中小企业在该领域的得分最高,这是因为在端点安全中有着诸多严格的规则,和大型企业相比,中小企业更容易执行这些规则。
国家方面,挪威获得了最高分,因为它增加了数字防御支出,以保护该国的关键IT基础设施免受来自敌对国家网络攻击的风险。尤其是在俄乌战争中,挪威对乌克兰进行军事和贸易支持,导致其面临的网络安全威胁上升,进一步增加了在该领域的投入。
九、总结
本报告介绍了CYE对网络安全趋势和最佳实践的分析结果。基于对可用数据的审查,得出以下可增强任何组织内系统和数据安全性的建议:
(1)投资于能力而不是工具。企业/组织往往热衷于投资工具,这会带来更大的攻击面,而不是更多的能力,寻找一家供应商,通过将技术、人员和流程相结合,以管理组织风险并使组织能够重新控制其网络弹性,从而用功能取代工具。
(2)制定网络安全董事会级别问责制。董事会必须参与公司网络网安的决策,这是管理层了解风险和保护公司所需的财务投资水平的唯一方法。
(3)全面评估安全态势,量化企业安全风险,并根据数据优先考虑缓解措施。为了正确地优先考虑缓解和分配资源,组织需要了解自身风险。通过识别来自所有攻击面的威胁,评估哪些漏洞和发现与企业/组织密切相关,以及漏洞、威胁对企业关键业务资产的威胁度,从而实现网络风险量化。考虑关键资产的财务背景,并使用统计数据来估计这些资产遭到破坏的可能性。围绕这些数据规划缓解措施,同时投资于解决根本原因问题的全面解决方案。