信息系統(tǒng)審計與控制協(xié)會(ISACA)調(diào)查數(shù)據(jù)顯示,去年網(wǎng)絡(luò)攻擊數(shù)量大漲35%。
對很多企業(yè)來說,安全不再僅僅是評估網(wǎng)絡(luò)風險,還包括評估網(wǎng)絡(luò)安全計劃。
信息系統(tǒng)審計與控制協(xié)會(ISACA)《2021年網(wǎng)絡(luò)安全現(xiàn)狀》報告第二部分顯示,約80%的企業(yè)看到了執(zhí)行網(wǎng)絡(luò)風險評估的價值,65%更進一步,還評估自身網(wǎng)絡(luò)成熟度。
報告指出,執(zhí)行這些評估的企業(yè)更有可能擁有足夠的人手充實安全團隊,也更容易獲得充足的網(wǎng)絡(luò)安全預(yù)算。而且,執(zhí)行安全計劃和成熟度評估的受訪者對自家企業(yè)的網(wǎng)絡(luò)攻擊檢測與響應(yīng)能力更有信心,自信程度比不執(zhí)行這些評估的企業(yè)高出兩倍不止。
ISACA內(nèi)容開發(fā)高級總監(jiān)Karen Heslop稱:“這是我們第一次衡量網(wǎng)絡(luò)成熟度并發(fā)現(xiàn)企業(yè)開始重視網(wǎng)絡(luò)安全,而且他們深入監(jiān)測并仔細觀察自己的安全過程是否按預(yù)期運行。”
Heslop表示,借助ISACA的CMMI網(wǎng)絡(luò)成熟平臺或NIST網(wǎng)絡(luò)安全框架,企業(yè)可以選擇深入到自身安全運營的細節(jié)。通過使用這些模型,企業(yè)能夠準確定位不足之處,發(fā)現(xiàn)需要繼續(xù)努力的地方。
但安全工作并非總是這么簡單。ISACA的調(diào)查研究中,約30%的受訪者提到了融合風險與成熟度的難點和緊跟行業(yè)威脅與趨勢的挑戰(zhàn),29%則在管理中難以區(qū)分成熟度和合規(guī)性;27%發(fā)現(xiàn)很難獲得了解和評估成熟度所需的組織性專業(yè)知識。
攻擊增多
同時,ISACA的調(diào)查還發(fā)現(xiàn),企業(yè)遭受的攻擊數(shù)量比去年增長了35%。其他報告新鮮出爐的數(shù)據(jù)顯露出了更令人警惕的攻擊趨勢。
安永《2021年全球信息安全調(diào)查》發(fā)現(xiàn),43%的網(wǎng)絡(luò)主管稱自己從未如此擔憂自身管理網(wǎng)絡(luò)威脅的能力,77%警告稱在過去12個月中見證了破壞性攻擊數(shù)量的上升,尤其是勒索軟件攻擊。安永去年的調(diào)查中這么說的受訪者還只有59%。
安永全球咨詢網(wǎng)絡(luò)安全主管Kris Lovejoy稱:“企業(yè)去年被迫適應(yīng)的這種變化速度造成了沉重的代價。需快速變革才能生存,就意味著安全常常得不到重視。單純繼續(xù)前進的風險是非?,F(xiàn)實且越來越緊迫的,尤其是企業(yè)希望在后疫情時代保持一些有效操作,卻又不解決網(wǎng)絡(luò)漏洞的情況下。近期的勒索軟件事件不過是強調(diào)了立即采取行動的重要性?!?
技術(shù)層面上,ISACA調(diào)查中約34%的受訪者稱其安全運營中用到了人工智能和機器學(xué)習。
Heslop稱:“這與我們一直以來看到的網(wǎng)絡(luò)安全人才供不應(yīng)求的局面有關(guān)。企業(yè)希望自動化安全運營中心的手動過程,讓安全運營團隊成員可以集中精力做更高級別的設(shè)計與分析工作?!?
不過,我們尚不清楚新冠肺炎疫情對安全策略的具體影響。目前這方面的數(shù)據(jù)是相互矛盾的。
ISACA報告發(fā)現(xiàn),僅12%的受訪者因新冠肺炎疫情而部署了SASE模型,部署了零信任模型的受訪者占比只有23%。鑒于安全專業(yè)人員對這些技術(shù)的高討論度,如此低的部署情況數(shù)據(jù)有些令人吃驚,但Heslop提醒讀者注意,有些企業(yè)可能在疫情爆發(fā)以前就部署了SASE和零信任模型。
同時,F(xiàn)ireMon最近的調(diào)查顯示出,43%的零售行業(yè)企業(yè)認為新冠肺炎疫情加速了其IT基礎(chǔ)設(shè)施向云端遷移,但安全團隊卻因后續(xù)云應(yīng)用的增多而需應(yīng)對復(fù)雜度上升的局面。該調(diào)查顯示,零售業(yè)受訪者中約81%已經(jīng)實現(xiàn)零信任架構(gòu),或計劃在兩年之內(nèi)實現(xiàn)此架構(gòu)。
ISACA《2021年網(wǎng)絡(luò)安全狀態(tài)》
https://www.isaca.org/go/state-of-cybersecurity-2021