近日,英國科學技術(shù)部發(fā)布了《2023年企業(yè)網(wǎng)絡(luò)安全合規(guī)調(diào)查報告》( Cyber Security Breaches Survey ),對英國所有企業(yè)和社會性組織目前的網(wǎng)絡(luò)威脅態(tài)勢和合規(guī)建設(shè)進行研究,同時也就如何提升新一代網(wǎng)絡(luò)應(yīng)用的合規(guī)性給出專業(yè)性建議。研究人員發(fā)現(xiàn),由于當前不利的經(jīng)濟環(huán)境,英國很多中小型企業(yè)及組織的管理者開始降低對網(wǎng)絡(luò)安全的重視度,有29%的受訪企業(yè)/組織表示不會將保障網(wǎng)絡(luò)應(yīng)用合規(guī)與安全作為其優(yōu)先處理的事項。
報告研究認為,由于網(wǎng)絡(luò)應(yīng)用違規(guī)導致的安全攻擊仍然是企業(yè)組織面臨的主要威脅之一。與去年相比,中小型企業(yè)組織所報告的攻擊和違規(guī)數(shù)量有所減少,但是這并非意味著企業(yè)組織的安全態(tài)勢開始好轉(zhuǎn),而是可能反映出,一些企業(yè)的高級管理者降低了對網(wǎng)絡(luò)安全的重視度,因此縮減了對違規(guī)網(wǎng)絡(luò)應(yīng)用或安全攻擊活動的監(jiān)控要求。
研究發(fā)現(xiàn),32%的受訪中小型企業(yè)組織表示過去12個月發(fā)生過數(shù)據(jù)泄密或安全攻擊事件,相比中型企業(yè)(59%)和大型企業(yè)(69%)的調(diào)研比例要低得多;研究發(fā)現(xiàn),英國企業(yè)所報告的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件同比下降,這種下降趨勢主要是由中小型企業(yè)推動的,而大中型企業(yè)的調(diào)研結(jié)果與去年基本持平;研究人員認為,在過去12個月里,所有企業(yè)的網(wǎng)絡(luò)應(yīng)用違規(guī)行為平均成本約為1100英鎊;而大中型企業(yè)的平均成本為4960英鎊;研究發(fā)現(xiàn),將網(wǎng)絡(luò)安全列為優(yōu)先事項的組織比例已從2022年的82%下降到今年的71%。數(shù)據(jù)表明,相對于通脹和不確定性等廣泛的經(jīng)濟發(fā)展問題,網(wǎng)絡(luò)安全在中小型企業(yè)組織中的優(yōu)先級排序已經(jīng)下降,有29%的企業(yè)認為網(wǎng)絡(luò)安全工作是不需要優(yōu)先處理的事務(wù)。
(資料圖片)
【網(wǎng)絡(luò)安全優(yōu)先級在企業(yè)中的變化趨勢】
企業(yè)網(wǎng)絡(luò)衛(wèi)生能力狀況最常見的網(wǎng)絡(luò)威脅通常相對簡單,因此報告研究人員建議企業(yè)采用一套標準化的網(wǎng)絡(luò)安全措施來滿足基礎(chǔ)性的防護要求。這些措施中最常見的手段包括更新惡意軟件補丁、云備份、密碼應(yīng)用、權(quán)限管理和部署防火墻。然而,在近三年的調(diào)查中,企業(yè)在某些領(lǐng)域的網(wǎng)絡(luò)衛(wèi)生水平呈現(xiàn)持續(xù)下降的態(tài)勢,主要包括:
是否使用了密碼管理策略(2021年為79%,2023年為70%);是否使用了網(wǎng)絡(luò)防火墻(2021年為78%,2023年為66%);是否進行了統(tǒng)一的身份和權(quán)限管理(2021年為75%,2023年為67%);是否會在14天內(nèi)進行應(yīng)用軟件的安全更新與補丁修復(2021年為43%,2023年為31%)。盡管這些趨勢主要是由于中小型企業(yè)的網(wǎng)絡(luò)安全應(yīng)用變化所引起,但是未來大型企業(yè)的合規(guī)態(tài)勢發(fā)展同樣值得高度關(guān)注。研究發(fā)現(xiàn),大型企業(yè)組織相比中小型企業(yè),董事會成員會更多參與公司的網(wǎng)絡(luò)安全治理工作,并且管理方法相比中小企業(yè)更為復雜,同時大型企業(yè)所報告的網(wǎng)絡(luò)風險也更少。
研究發(fā)現(xiàn),近30%的受訪企業(yè)表示,其董事會成員或受托人會直接參與網(wǎng)絡(luò)安全管理工作,這一比例在中型企業(yè)和大型企業(yè)中分別升至41%和53%;21%的中型企業(yè)和30%的大型企業(yè)聽說過NCSC的董事會安全監(jiān)管工具包(Board Toolkit),這一比例在2020年(該工具包推出時)分別為11%和22%;49%的中型企業(yè)、68%的大型企業(yè)和36%的高收入慈善機構(gòu)制定了正式的網(wǎng)絡(luò)安全戰(zhàn)略。數(shù)據(jù)表明,制定該戰(zhàn)略的主要推動因素來自政府監(jiān)管部門的壓力、審計和商業(yè)并購活動。它也與網(wǎng)絡(luò)安全團隊獲得運營獨立性(例如從IT部門分割出來)的調(diào)研數(shù)據(jù)高度吻合;【制定網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)比例】
研究發(fā)現(xiàn),阻礙了董事會更多地參與網(wǎng)絡(luò)安全工作的主要因素包括:缺乏知識、培訓和時間。這凸顯了網(wǎng)絡(luò)安全人員在如何說明網(wǎng)絡(luò)安全支出的必要性時,會面臨較大的挑戰(zhàn)。第三方安全認證和指導報告研究發(fā)現(xiàn),目前尋求外部網(wǎng)絡(luò)安全指導的英國企業(yè)比例保持穩(wěn)定。然而,仍然有大量的企業(yè)組織,包括一些大型企業(yè),沒有積極按照政府監(jiān)管機構(gòu)給出的網(wǎng)絡(luò)安全建設(shè)指導方針開展安全建設(shè),如網(wǎng)絡(luò)安全建設(shè)指南,以及政府認可的Cyber Essentials標準或ISO 27001。
49%的受訪企業(yè)組織表示,在過去的一年里,他們從外部第三方機構(gòu)尋求網(wǎng)絡(luò)安全方面的信息或指導,最常見的是網(wǎng)絡(luò)安全咨詢顧問和IT審計服務(wù);【尋求外部網(wǎng)絡(luò)安全指導的企業(yè)比例】
僅有14%的受訪企業(yè)知道“Cyber Essentials”網(wǎng)絡(luò)基本評估計劃,而中型企業(yè)和大型企業(yè)的調(diào)研比例分別為50%和59%;【了解Cyber Essentials計劃的企業(yè)比例】
只有9%的企業(yè)報告遵守了ISO 27001,而在大型企業(yè)中,這一比例會更高(27%);【遵守PCI DSS、ISO 27001和NIST標準的企業(yè)比例】
調(diào)查結(jié)果表明,企業(yè)尋求外部認證的主要因素可能源于其客戶的要求。對于組織來說,使用第三方安全服務(wù)是一種便利的方式,可以快速生成一套關(guān)于其網(wǎng)絡(luò)安全標準的標準化文檔,并加速其員工的網(wǎng)絡(luò)安全意識培養(yǎng)。網(wǎng)絡(luò)安全事件響應(yīng)報告研究發(fā)現(xiàn),雖然絕大多數(shù)受訪企業(yè)組織表示,他們會在網(wǎng)絡(luò)安全事件發(fā)生后采取行動進行響應(yīng)和補救,但實際上,只有少數(shù)組織已經(jīng)提前制定了支持這一行動的事件響應(yīng)計劃和流程。對大多數(shù)企業(yè)組織而言,如果提升其網(wǎng)絡(luò)安全事件響應(yīng)能力是一個需要持續(xù)改進的領(lǐng)域。
近40%的受訪企業(yè)和機構(gòu)表示,最常見的網(wǎng)絡(luò)安全事件響應(yīng)流程就是為個人分配特定的角色和責任,并對外部報告和內(nèi)部報告進行指導;只有21%的受訪企業(yè)表示已經(jīng)制定了網(wǎng)絡(luò)安全事件響應(yīng)計劃,而這一比例在中型企業(yè)中上升到47%,在大型企業(yè)中上升到64%;定性調(diào)查結(jié)果表明,另一個潛在改進的領(lǐng)域是,在事件響應(yīng)方面,IT或?qū)I(yè)網(wǎng)絡(luò)團隊與更廣泛的員工(包括管理委員會)之間的相對脫節(jié)。彌合這一差距需要IT團隊和更廣泛的員工之間良好、定期的溝通。事后審查也被視為讓更多員工參與網(wǎng)絡(luò)安全的一種方式。網(wǎng)絡(luò)犯罪態(tài)勢在英國,網(wǎng)絡(luò)攻擊活動是否屬于網(wǎng)絡(luò)犯罪行為,主要是根據(jù)1990年頒布的《計算機濫用法》(Computer Misuse Act 1990)和英國內(nèi)政部頒布的《計數(shù)規(guī)則》(Home Office Counting Rules)來判斷。在今年的調(diào)研中,研究人員發(fā)現(xiàn)企業(yè)組織在定義其所經(jīng)歷的違規(guī)或攻擊活動是否屬于網(wǎng)絡(luò)犯罪時,面臨一些新的問題和困難。
調(diào)查結(jié)果顯示,網(wǎng)絡(luò)犯罪在大型組織中更為普遍,盡管這也可能由于小型組織缺乏事件發(fā)現(xiàn)能力或故意瞞報的結(jié)果;在過去的12個月里,共有11%的企業(yè)組織經(jīng)歷過網(wǎng)絡(luò)犯罪,其中中型企業(yè)的比例為26%,大型企業(yè)為37%。而從另一個角度來看,共32%的企業(yè)發(fā)現(xiàn)了網(wǎng)絡(luò)安全違規(guī)或攻擊行為,但其中僅約三分之一的事件最終被定義為網(wǎng)絡(luò)犯罪活動;【過去一年經(jīng)歷過網(wǎng)絡(luò)犯罪的企業(yè)比例】
據(jù)研究人員估算,在過去12個月里,所有英國企業(yè)共遭受了239萬起網(wǎng)絡(luò)犯罪攻擊,其中大約有4.9萬起網(wǎng)絡(luò)犯罪導致了實際的欺詐損失和后果;英國企業(yè)每年因網(wǎng)絡(luò)犯罪造成的平均損失約為1.53萬英鎊/人。需要重點改進的領(lǐng)域在本次報告中,研究人員再次強調(diào)了各種規(guī)模的企業(yè)組織,都應(yīng)該重視并積極改進網(wǎng)絡(luò)應(yīng)用的合規(guī)性和安全性:
1.建立更有效的溝通和信任關(guān)系研究結(jié)果表明,IT技術(shù)人員或安全團隊應(yīng)該與各個業(yè)務(wù)部門建立良好、持續(xù)的溝通,因為灌輸一種常態(tài)化的安全意識需要依賴于雙向反饋,即員工報告可疑活動,并聽取安全專家反饋的專業(yè)建議。它還要求安全團隊與企業(yè)管理層建立信任關(guān)系,這種方法是開展有效網(wǎng)絡(luò)安全建設(shè)工作的基礎(chǔ)。
2.密切關(guān)注供應(yīng)鏈和第三方安全近年來的SolarWinds和GoAnywhere零日漏洞,不斷向企業(yè)印證了密切關(guān)注第三方軟件供應(yīng)鏈安全的重要性。因為無論企業(yè)自己的網(wǎng)絡(luò)防御能力有多強大,合作伙伴的安全漏洞也會同樣導致防護體系的崩潰。
目前,很多大型企業(yè)都采取了行動審查第三方供應(yīng)商的網(wǎng)絡(luò)風險。然而,這種審查在中小企業(yè)中還并不常見,企業(yè)仍然缺乏對供應(yīng)鏈風險的認識。研究表明,通過開展IT審計、客戶要求和監(jiān)管部門安全檢查等措施,將會推動企業(yè)將更正式的供應(yīng)鏈安全管理流程落實到位。在此之前,企業(yè)應(yīng)該準備好勒索軟件緩解清單和網(wǎng)絡(luò)事件響應(yīng)計劃,并通過定期的網(wǎng)絡(luò)攻擊桌面演習來優(yōu)化這些網(wǎng)絡(luò)安全政策和程序的有效性。
3.落實正式的事件響應(yīng)計劃報告顯示,盡管大多數(shù)組織聲稱他們會采取一系列措施來響應(yīng)網(wǎng)絡(luò)安全事件,但這些措施往往沒有形成標準化的流程和制度。在安全事件真正發(fā)生時,企業(yè)會陷入混亂,安全人員也不知道該扮演什么角色。
隨著網(wǎng)絡(luò)犯罪導致的損失不斷飆升,企業(yè)減輕損失的唯一方法是進行更充分地準備和響應(yīng)。遺憾的是,一些中小型企業(yè)組織因為經(jīng)濟不景氣等因素而降低了對網(wǎng)絡(luò)安全的重視程度,一旦受到攻擊,其結(jié)果可能是災(zāi)難性的,不僅要承擔從攻擊中恢復的成本,還可能面臨巨額監(jiān)管處罰和商譽損失。
在當今復雜的網(wǎng)絡(luò)威脅環(huán)境中,企業(yè)應(yīng)該充分認識到網(wǎng)絡(luò)安全是不可或缺的,任何組織都可能會受到攻擊。因此,必須提前為可以出現(xiàn)的最壞情況做好準備,制定一個良好的網(wǎng)絡(luò)事件響應(yīng)計劃,并為關(guān)鍵決策者提供有效的能力培訓和權(quán)限。
參考鏈接:https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2023/cyber-security-breaches-survey-2023
標簽:
