首席信息安全官报告：从2021到2022年，8个主要发现

近日，TechLibrary发布了“CISO报告：2022年及以后的前景、挑战和计划”（The CISOs Report：Perspectives, Challenges, and Plans for 2022 and Beyond）。通过该报告，可以深入了解当今顶级安全主管的想法。

摘译 | 林心雨/赛博研究院实习研究员

来源 | TechLibrary

随着网络威胁的多样化和扩散，首席信息安全官(CISO)的角色在过去十年中发生了重大变化。随着IT现在融入到业务和任务操作的各个方面，CISO在持续的战斗中承担着巨大的责任，以保护他们的组织免受无休止的攻击。

考虑到攻击面和威胁环境变化的速度之快，CISO及时洞察全球的变化可能具有挑战性。为了提供帮助，该报告提供了CISO长期以来一直想要了解的内容：将他们的情况和经验与他人进行比较；学习他们的同伴正在做什么和计划做什么；获得可靠的数据，以证明在这些领域的投资是正确的。

主要发现

1、攻击并未缓解。勒索软件、网络钓鱼/鱼叉式网络钓鱼和供应链攻击是CISO最担心的威胁。绝大多数CISO认为本年威胁形势比一年前更糟：75%的人证实，在此期间至少遭受过一次，最多五次受到网络攻击，均造成了实质损失。中型企业尤其首当其冲，67.5%的企业(员工人数在1000至4999人之间)和62.2%的企业(员工人数在5000至10000人之间)遭受了多次攻击，造成了实质损失。实际上，没有一个组织是安全的。

2、CISO认识到当前的局限性。他们对自己检测网络攻击的能力比预防或应对攻击的能力更有信心。他们也在努力量化网络安全领域，从他们举措的投资回报率到整体财务风险，甚至是事件的累积影响。

3、以供应链漏洞为首的一系列广泛的风险引起了CISO的担忧。合作伙伴和供应商对于全球各种类型和规模的企业和组织的成功运作至关重要。然而，受访者称第三方是需要克服的首要安全风险。紧随其后的是：未打补丁的软件/系统、云安全覆盖的漏洞以及IT管理员的配置错误。该报告预计在不久的将来，物联网/工业物联网将会出现在这个名单上。

4、API和数据发现、分类是需要进一步关注的重点。CISO认为最需要安全改进的IT组件是API(在过去2-3年里使用激增)、云应用程序(SaaS)和云基础设施(IaaS)。他们认为最需要改进的安全流程包括数据发现和分类、数据备份和恢复以及DevSecOps。这些榜单反映了随着远程工作的急剧升级、云计算的采用、BYOD和不断变化的开发实践而发生的IT环境的变化。

5、外部影响是最大的担忧。引起CISO最担心的网络攻击的影响是PII或其他敏感数据的暴露，以及关键基础设施或基本服务的停机时间。这些领域的破坏所产生的影响范围非常广泛，远远超出了内部范围。对它们的关注远远超过了实质损失、合规行动或业务中断等内部影响。缺乏熟练的安全人员和需要管理的数据太多是限制CISO建立更好的安全防御的原因。

6、零信任是一个概念。CISO表示抛开炒作周期，实施或加强零信任模式是未来12个月的首要安全任务。近79%的公司表示已经开始实施，另有18%的公司正在积极规划。

7、对简化和流程化有着浓厚的兴趣。CISO在购买新的安全解决方案时最看重的功能和特性是易于部署和使用。紧随其后的是高保真警报和分析，以及自动化。这些功能都将帮助繁忙的CISO和安全团队更快地完成更多正确的事情。他们认为不太重要的是成为单一提供商的更广泛平台的一部分。

8、顶级的安全投资计划反映了最新的趋势。当升级和新实施的预计支出结合起来时，未来12个月内名列前茅的安全技术包括网络/微分割、容器安全和安全服务边缘(SSE)平台。

现状：2021vs2022

通过询问受访者如何看待当前的威胁形势与一年前相比，该报告显示情况并没有改善，但这也许并不令人惊讶。

与一年前相比，哪一项最能描述贵公司目前所面临的网络威胁的感知水平?

图1 感知威胁景观——2021vs2022

近七成的受访者认为，现在的威胁形势比一年前更加严重。这是一个发人深省的统计数据，尽管这种看法可能在一定程度上受到组织上次遭受攻击的时间和造成的影响程度的影响。在这种情况下，许多受访者似乎最近受到了打击。只有12%的受访者认为威胁状况有所改善，导致这一看法的原因可能是：一年前的勒索病毒热度可能已经降低了一点，或可能只是被太多的勒索病毒标题所麻木。

同样在过去的一年里，几乎一半的受访者遭受了2到5次的攻击，十分之一的人遭受了5次以上的攻击。只有五分之一的“幸运”受访者没有受到攻击的实质损失。

在过去的12个月里，贵公司有多少次受到网络攻击的影响，造成了实质损失?

图2 过去12个月造成重大损失的网络攻击次数

中型组织仍然是威胁行为者最常攻击的目标，研究中也通过2021 Ransomware in Focus Report发现了这一点。当然，任何组织都不应该认为自己不够重要，不足以发动攻击。然而，攻击者对中型企业的关注可能是因为小型企业吸引攻击者的资产较少，而大型企业有更强大的安全防御来保证他们的安全。

图3 网络攻击造成实质损失的百分比——按组织规模

风险最大的行业当属建筑业和制造业，分别有85%和79%经历了至少一次造成物质损失的攻击。从历史上看，这些行业的防守一直不那么严密，而且这种状态似乎还在继续。紧随其后的是零售业，网上购物环境尤其容易遭到猛烈攻击。受到严格监管的医疗保健(占65.1%)和金融服务(占63.6%)行业虽然不是受打击最严重的行业，但仍然面临着严峻的威胁环境。

图4 网络攻击造成实质损失的百分比——按行业分类

就各地区的数据而言，这些数字反映了几十年持续存在的一般IT成熟度曲线。北美的情况要好一些，遭受的破坏性攻击比欧洲组织少22.5%，比亚太地区组织少17.9%。

图5 网络攻击造成实质损失的百分比——按地区分类

推荐阅读

• 网安智库平台长期招聘兼职研究员

• 欢迎加入“安全内参热点讨论群”

---

文章来源：赛博研究院

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

原文始发于微信公众号（安全内参）：首席信息安全官报告：从2021到2022年，8个主要发现