10种网络安全误区剖析和20个网络安全关注点

内容来源丨思科网络安全报告系列

10种中小企业网络安全误区剖析

【详尽报告请关注公众号回复“思科报告”领取】

为了评估有关中小企业安全状况的常见误区，我们比较了中小企业（员工人数：250- 499）和大型组织（员工人数：500 及以上）在各种网络安全能力方面的调查结果。我们根据研究数据的发现了一些误区。这里将对这些误区进行调查，并提供数据来反驳这些错误的看法，证明中小企业的安全状况比任何人想象的更好。

误区 1：只有大型组织会受到各种形式的公众关注

一个常见误区是，媒体只关注大规模、破坏性的企业或政府数据泄露。这可能会使一些规 模较小的组织认为，当他们遭受网络攻击时，即使受到公众关注，关注程度也不会很高。

错误：去年，小型组织与同行业大型组织受到的公众关注度不相上下。

误区2：大型企业遭受攻击后停机时间更短并且恢复速度更快

当中小企业遭受网络攻击继而导致一定程度的停机时间（营业时间损失）时，这一误区暗示中小企业不具备相应资源确保自身像同行业大型企业那样迅速恢复。

错误：我们的数据表明，中小企业和大型组织遭受网络攻击后的停机时间相差无几。

误区3：中小企业缺少专职安全人员

在中小企业中，必要时人人都要参与相关工作，因为人们会认为网络安全只是某个人工作的一个方面。这些人还需要平衡 IT 管理的其他方面的工作，例如管理数据中心和评估新硬件。这就形成了一个误区，即使中小企业有专职网络安全资源，也屈指可数。

错误：虽然有些情况可能是这样，但绝大多数中小企业都告诉我们，他们确实有专职员工负责网络安全工作。事实上，不到 1% 的中小企业告诉我们，他们没有任何专职负责安全工作的员工。也许更令人惊讶的是，60% 的中小企业表示，他们安排了 20 多人专职负责安全工作，但我们未具体说明此类专职工作可能需要多大程度的参与，也未具体说明相关员工是否通过托管安全服务提供商 (MSSP) 外包。

误区4：大型企业拥有最新的基础设施

随着消费者升级到最新智能手机的频率越来越高，大型组织似乎有能力更换其安全基础设施的所有组件。但是，对于小型企业而言，这种周期性投资是否会对其年度 IT 预算产生更大影响？

不完全正确：当被问及其基础设施情况及投资和更换关键安全技术的策略时，中小企业告诉我们：几乎所有中小企业都在努力及时更新其基础设施。

误区5：中小企业面临的威胁不同于大型企业

网络犯罪分子希望获得最大收获，因此他们会采用最隐蔽、最危险的策略来攻击大型企业，是吗？

不完全正确：我们比较了中小企业和大型企业报告的他们在过去一年内遭受的网络攻击类型，以及攻击造成的停机时间（营业时间损失）。为此，我们根据组织员工人数采用四个类别进行了上述比较，并对最可能造成 24 小时以上停机时间的事件进行了排名。

误区6：中小企业不会主动进行威胁追踪

威胁追踪是一项主动性安全措施，目的在于找出并根除渗透到您的环境中但未引发警报的攻击者。这与源自检测到潜在恶意活动后发出警报的传统调查和应对措施形成了鲜明对比。

整个威胁追踪概念听起来像是一场神秘的犯罪现场调查，其微妙性和复杂性超出了小型企业的能力范围。中小企业正在全力调查警报；他们没有时间追踪其他威胁，是吗？

错误：从我们的调查数据来看，不仅有 72% 的中小企业安排员工专门从事威胁追踪，而且相似比例的大型组织还设立了威胁追踪部门。

误区7：中小企业不会通过演练/练习来测试其事件响应计划

正如拳王迈克·泰森经常说的那样：“每个人都有自己的计划，直到被一拳打在脸上” 。在您了解事件响应计划的实际执行情况之前，不过纸上谈兵罢了。但中小企业没有足够的时间和资源来测试他们的计划，是吗？这肯定会造成比其应有价值更大的破坏。

错误：这一误区完全不符合事实。事实上，只有 1% 的中小企业从未测试过自己的计划，只有 4% 的中小企业很少测试自己的计划。12% 的中小企业每两年测试一次，36% 的中小企业每年测试一次，绝大多数 (45%) 中小企业每 6 个月测试一次。

误区8：无论出于何种原因，中小企业领导层都不够重视安全和数据隐私问题

这是一个重大误区，遗憾的是多年来这个误区在业界一直盛传不衰。作为中小企业，您不了解自己处于何种危险之中，而且尚未形成注重安全和数据隐私的组织文化。

错误：我们的数据证明，这一误区与实际情况大相径庭。从我们对来自不同规模组织的 IT 决策者的调查中，有三个方面可以证明这一点。

误区9：小型组织不会定期修补漏洞

漏洞修补通常属于网络安全基础，但在实践中，实施起来可能具有挑战性。一个误区认为，中小企业宁愿将资源用于其他地方，也不愿意设法最大限度地降低漏洞修补造成的干扰。

错误：56% 的中小企业每天或每周修补漏洞，相比之下，58% 的大型企业每天或每周修补漏洞。这表明，对于定期漏洞修补的惯例，各种规模的企业的漏洞修补频率旗鼓相当。

误区10：中小企业无法衡量其安全计划的效果

有很多误解认为规模较小的企业在网络安全方面倾向于秉持 “漫天撒网，守株待兔” 的心态。这意味着，他们没有能够监控和衡量实际效力的措施，因此无法优化现有方案。

错误：高达 86% 的中小企业表示，他们有明确的指标来评估其安全计划的效果，而在规模较大的组织中这一比例为 90%，相差甚微。

面向2020年的20个网络安全关注点

【详尽报告请关注公众号回复“思科报告”领取】

我们对来自全球13个国家的2800名IT决策管理者进行了第六次年度调查访问并延续了 之前的传统：深入了解企业境况，编写关键基准统计数据。并且充分详尽地向首席信息安全官专家组介绍和分析了我们所发现的最新信息，罗列出面向2020年的20个考量关注点。这份报告提供了许多具有价值的专业意见和数据，可供您与其他团队成员或是公司董事分享，形成切实有效的意见和建议，共同改善企业的安全运营环境。

1.企业组织中由谁来提供行政管理支持和明确重点？

2.如何决定哪项衡量指标最重要？

3.哪些主要关注点主导着有限预算下的开支？

4.如何正确平衡信任验证支出和威胁检测支出？

5.衡量安全漏洞对企业造成的影响能为你带来何种启示？

6.为何主动安全漏洞披露空前重要？

7.是否可以对网络和安全之间的协同效益进行量化？

8.除了降低成本之外，你觉得采取外包模式还有哪些其他理由？

9.提前准备是否可以为您创造效益？

10.打补丁在漏洞保护中起到怎样的关键作用？

11.什么原因导致系统停机？

12.保护移动办公存在哪些挑战性？

13.如何从零信任延伸到安全应用？

14.网络基础设施防护是否仍充满挑战？

15.你能否衡量供应商整合的影响力？

16.哪些原因会造成网络安全疲劳和倦怠？

17.在云中托管基础架构设施可获得什么安全收益？

18.你认为未来存在什么样的挑战？

19.您应将多少精力放在事件响应上？

20.如何立足当下，促进企业安全发展？

关注我们

联系我们

本文始发于微信公众号（等级保护测评）：10种网络安全误区剖析和20个网络安全关注点