安永-網(wǎng)絡(luò)安全行業(yè)2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究：最大的網(wǎng)絡(luò)安全風(fēng)險反而是網(wǎng)絡(luò)戰(zhàn)略的復(fù)雜性

安永2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究 6第二章網(wǎng)絡(luò)安全成熟型企業(yè)可覆蓋整個攻擊面 9新興技術(shù)正在制造新型攻擊面 10網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者低估了供應(yīng)鏈帶來的風(fēng)險 11 12 12廣泛的員工參與將帶來更優(yōu)的網(wǎng)絡(luò)安全策略整合局面 13 13第四章網(wǎng)絡(luò)安全成熟型企業(yè)-使網(wǎng)絡(luò)安全成為價值驅(qū)動力 15 16《安永2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究》顯示了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者如何在創(chuàng)造價值的同時加?改善后的網(wǎng)絡(luò)安全不僅可以減少漏洞，它還通過優(yōu)盡管網(wǎng)絡(luò)攻擊威脅不斷增加，對網(wǎng)絡(luò)安全方面的投資也在持續(xù)增長，但只有五分之一的首席信息安全官（ChiefInformationSecurityOfficer，CISO）和高管團(tuán)隊(duì)認(rèn)為他們的網(wǎng)絡(luò)安全措施《安永2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究》的研究對象還指出了一些令人擔(dān)憂的問題。企業(yè)平均每年面臨44起重大網(wǎng)絡(luò)事件，但檢測和響應(yīng)較慢，有四分之三的企業(yè)需要六個月或更長時間才能檢測和響應(yīng)事件。與此同時，在過去五年中已知的網(wǎng)絡(luò)攻擊數(shù)計(jì)到2031年，勒索軟件造成的損失將從2021年的200億美元增加到2650億美元2。新的、復(fù)雜的網(wǎng)絡(luò)攻擊者正在利用最新的技術(shù)作為武器提高攻擊的速度和規(guī)模，由此對企業(yè)造成的財2023年2月至3月，安永在全球范圍組織進(jìn)行了一項(xiàng)研究，旨在更好地了解公司如何處理其組織的網(wǎng)絡(luò)安全，為當(dāng)前和未來的網(wǎng)絡(luò)安全歐洲、中東、印度及非洲區(qū)等25個國家和地區(qū)、11個不同行業(yè)的500名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者進(jìn)業(yè)。與表現(xiàn)欠佳的同行（網(wǎng)絡(luò)安全發(fā)展中企業(yè)）相比，網(wǎng)絡(luò)安全成熟型企業(yè)的網(wǎng)絡(luò)安全事件數(shù)量更少，且檢測和響應(yīng)事件的速度更快。他們對組織當(dāng)前的網(wǎng)絡(luò)安全策略的滿意度更高（51%1網(wǎng)絡(luò)事件數(shù)據(jù)庫2網(wǎng)絡(luò)安全風(fēng)險投資2.網(wǎng)絡(luò)安全成熟型企業(yè)在2022年遭遇的網(wǎng)絡(luò)安全事件較少。3.網(wǎng)絡(luò)安全成熟型企業(yè)能夠更快地發(fā)現(xiàn)網(wǎng)絡(luò)安4.網(wǎng)絡(luò)安全成熟型企業(yè)對事件的響應(yīng)速度也更快。圖片描述：網(wǎng)絡(luò)安全成熟型企業(yè)的網(wǎng)絡(luò)安全策略不僅能夠保護(hù)企識到網(wǎng)絡(luò)安全要素對企業(yè)應(yīng)對市場機(jī)遇、推動轉(zhuǎn)型和創(chuàng)新步伐所帶來的積極影響。與其他企業(yè)?他們迅速采用新興技術(shù)，并利用自動化手段協(xié)調(diào)其網(wǎng)絡(luò)安?他們具備針對性的網(wǎng)絡(luò)安全策略以管理復(fù)雜的攻擊面，?他們已將網(wǎng)絡(luò)安全融合到組織的三個層面，包括高管團(tuán)隊(duì)、全體平均檢測時間（MTTD）、平均響應(yīng)時間（MTTR）、事件數(shù)量、組織內(nèi)部的網(wǎng)絡(luò)安全整合工），近年來，網(wǎng)絡(luò)安全工具和應(yīng)用程序在先進(jìn)性、速度和有效性等方面都有所提高。據(jù)Pitchbook稱，這在一定程度上是由大量投資推動的。從2010年至2022年，全球在網(wǎng)絡(luò)安全領(lǐng)域的投“技術(shù)環(huán)境越混亂，捕捉信號并快速解決問題就變首席信息安全官需要改變企業(yè)引入網(wǎng)絡(luò)安全技術(shù)的方式，制定整體的技術(shù)戰(zhàn)略，使現(xiàn)有系統(tǒng)合的先進(jìn)解決方案，尤其是通過利用自動化技術(shù)來簡化環(huán)境。相比網(wǎng)絡(luò)安全發(fā)展中企業(yè)，他們更圖片描述：網(wǎng)絡(luò)安全成熟型企業(yè)表示，他們的網(wǎng)絡(luò)安全策略還與提高威脅應(yīng)對能力有關(guān)（45%?簡化和合理化現(xiàn)有網(wǎng)絡(luò)安全技術(shù)，以降低運(yùn)行總成本，并建?在不引入新風(fēng)險或使整體技術(shù)環(huán)境復(fù)雜化?尋求聯(lián)合外包和托管服務(wù)來簡化基礎(chǔ)設(shè)施、提行業(yè)，能源企業(yè)更傾向于“使用的技術(shù)需經(jīng)過嘗試和測試”，并認(rèn)為沒有優(yōu)先考慮新興技術(shù)集成資。作為重要的國家基礎(chǔ)設(shè)施，能源行業(yè)不斷收緊監(jiān)管，加大合規(guī)管理力度，括物聯(lián)網(wǎng)（IoT）。現(xiàn)今網(wǎng)絡(luò)安全技術(shù)產(chǎn)品已顯著改進(jìn)，可以幫助能源企業(yè)有效識別漏洞并開發(fā)關(guān)鍵控制，如特權(quán)訪問管理、威脅檢測和響應(yīng)等?！比欢撔袠I(yè)正面臨重大的結(jié)構(gòu)性挑戰(zhàn)。石油和天然氣公司是全球性的，但網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和法規(guī)卻是本地化的。網(wǎng)絡(luò)安全職能部門通常難以與控制運(yùn)營資產(chǎn)的工廠經(jīng)理進(jìn)行有效協(xié)作，而原在網(wǎng)絡(luò)方面的投資額和金融服務(wù)行業(yè)相近，但他們的IT環(huán)境更加分散，像蜘蛛一“潛在攻擊面太多”是企業(yè)網(wǎng)絡(luò)安全策略中最常被提及的內(nèi)部挑戰(zhàn)。企業(yè)大規(guī)模向云計(jì)算和物聯(lián)網(wǎng)（IoT）的過渡增加了網(wǎng)絡(luò)漏洞的機(jī)會，而當(dāng)今以生態(tài)系統(tǒng)為主導(dǎo)的業(yè)務(wù)方法在幫助推動價件是由供應(yīng)鏈導(dǎo)致的3。圖片描述：3威瑞森(Verizon)2022數(shù)據(jù)泄露調(diào)查報告新興技術(shù)正在制造新型攻擊面四分之三的研究對象認(rèn)為云和物聯(lián)網(wǎng)是未來五年最重要的技術(shù)風(fēng)險。隨面呈指數(shù)級增長，組織應(yīng)努力跟上技術(shù)不斷變化的步伐。當(dāng)組織在云和物聯(lián)網(wǎng)上沒有圍繞云接泄露和業(yè)務(wù)中斷的風(fēng)險。為了應(yīng)對這種復(fù)雜性，組織需要利用自動化解決方案。例如，半數(shù)以上來自網(wǎng)絡(luò)安全成熟型企業(yè)的首席信息安全官表示，他們的組織目前正使用或處于實(shí)施云協(xié)同此外，企業(yè)不能假定所有的網(wǎng)絡(luò)安全風(fēng)險都由云供應(yīng)商來處理。安永網(wǎng)絡(luò)安全咨詢合伙人方面。我們經(jīng)常遇到配置錯誤的情況，并建議進(jìn)行更多的安全設(shè)置，而不僅僅是將責(zé)任提升和轉(zhuǎn)移給云端。在進(jìn)行安全設(shè)置時，需要考慮的關(guān)鍵領(lǐng)域包括權(quán)限訪問管理以避免特權(quán)提升、機(jī)密管理和橫向移動。根據(jù)我們從客戶那里得到的反饋，最安全的組織會詳細(xì)閱讀合同條款，并等的安全標(biāo)準(zhǔn)。通過內(nèi)部團(tuán)隊(duì)和云服務(wù)提供商之間形成責(zé)任共擔(dān)，企業(yè)在不增加云平臺和容器網(wǎng)絡(luò)風(fēng)險量化是一個新興領(lǐng)域，通過自動化和數(shù)據(jù)分析可以提升風(fēng)險洞察力先級。當(dāng)前，執(zhí)行委員會和董事會正在就網(wǎng)絡(luò)和數(shù)字風(fēng)險提出更多問題，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)積亞太區(qū)的研究對象（81%）更傾向于將大規(guī)模云視為審批進(jìn)程較慢，這可能導(dǎo)致該地區(qū)在采用云服務(wù)方面存在滯后現(xiàn)象，或者在向云過渡的信心方另一方面，歐洲、中東、印度及非洲區(qū)（49%）更加重視人工智能和網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者低估了供應(yīng)鏈帶來的風(fēng)險現(xiàn)在，所有組織與供應(yīng)鏈中的企業(yè)都有著緊“一對多”策略成功入侵了數(shù)千個組織?！霸谶^去的五年里，我們觀察到網(wǎng)企業(yè)（38%）高度關(guān)注供應(yīng)鏈風(fēng)險的可能性幾乎是網(wǎng)絡(luò)安全發(fā)展中企業(yè)（20%）的兩到供應(yīng)鏈帶來的威脅僅僅是第一步，首席信息安全官應(yīng)努力精簡其組織的供應(yīng)鏈，從而對供應(yīng)商彈性始終保持可見，而不僅僅是一次性的。首席信息安全官與首席運(yùn)營官以及其他運(yùn)營負(fù)責(zé)安全職能部門將參與供應(yīng)商遴選決策，以建立更高水平的安全保障并對其持續(xù)管理。首席運(yùn)營官和首席信息安全官也可能在合作中面臨一些沖無法獲得發(fā)展機(jī)會，而首席信息安全官則會覺得自己作為企業(yè)保護(hù)者的價值被低估了。只有通過二者的共同努力，才能實(shí)現(xiàn)組織真正的發(fā)展韌性4。4首席運(yùn)營官（COO）和首席信息安全官（CISO）如何共同建立抵御勒索軟件的運(yùn)營機(jī)制網(wǎng)絡(luò)安全成熟型企業(yè)在整個組織中扮演著橋梁的角色，他們能夠與高管層、體員工三個層次的利益相關(guān)者進(jìn)行有效溝通，并且清楚地認(rèn)識到網(wǎng)絡(luò)安全問題中存在的“人為因素”。網(wǎng)絡(luò)安全整合需要從高管團(tuán)隊(duì)開始行動在過去，首席信息安全官的角色主要是運(yùn)營和技術(shù)性的，但在更成熟的組織中，網(wǎng)絡(luò)安全本身高風(fēng)險環(huán)境中，首席信息安全官在獲取必要的資源方面取得了廣泛成功，其作用日益突出。這的支持，彌補(bǔ)其知識差距，以及加強(qiáng)首席信息安全官和高級管理層之間的緊密溝通。然而，我組織整體網(wǎng)絡(luò)安全策略實(shí)施的有效性（36%vs48%）以及其應(yīng)對未來威脅的能力（38%vs對于網(wǎng)絡(luò)安全成熟型企業(yè)來說，首席信息安全官和高管之間的認(rèn)知差距更小將網(wǎng)絡(luò)安全整合到關(guān)鍵業(yè)務(wù)決策中，這表明與高層領(lǐng)導(dǎo)進(jìn)行更有效的溝通可以建立對風(fēng)險的共同理解，并提高網(wǎng)絡(luò)安全績效。對網(wǎng)絡(luò)安全績效具備一致的認(rèn)知是公司網(wǎng)絡(luò)安全能力成熟度較最有效的首席信息安全官還能將其關(guān)于網(wǎng)絡(luò)安全的理念轉(zhuǎn)化為一個連貫的故事，這個故事能夠圖片描述：距。廣泛的員工參與將帶來更優(yōu)的網(wǎng)絡(luò)安全策略整合局面更加廣泛的網(wǎng)絡(luò)安全策略整合重點(diǎn)應(yīng)該是更加廣泛的員工參與。人為錯誤仍然是網(wǎng)絡(luò)安全攻擊安全最佳實(shí)踐的遵守存在不足是當(dāng)前最大的內(nèi)部挑戰(zhàn)之一（8項(xiàng)挑戰(zhàn)中排名實(shí)踐的情況表示滿意。這引發(fā)了人們對這種培訓(xùn)有效性的質(zhì)疑。然而，這一差距在網(wǎng)絡(luò)安全成織必須對要求員工遵守的最佳實(shí)踐進(jìn)行簡化，并通過在流程和溝通過程中建立防護(hù)措施以限制風(fēng)險發(fā)生，而非僅依賴人為控制。更成熟的組織會定期開展?jié)u進(jìn)式培訓(xùn)，利用最新的自動化和網(wǎng)絡(luò)安全陷入技能追趕的困境，需要對其采取戰(zhàn)略舉措在網(wǎng)絡(luò)安全領(lǐng)域，人才短缺是一個持續(xù)存在的挑戰(zhàn)。在過去一年中，網(wǎng)絡(luò)安全人才缺口的增長速度超過了全球網(wǎng)絡(luò)人才缺口增速的兩倍以上5。網(wǎng)絡(luò)安全陷入了技能追趕的困境，提升技能 例如，他們優(yōu)先招聘或重新培訓(xùn)目前尚未進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域的員工的可能性是其他企業(yè)的兩倍5(ISC)22022網(wǎng)絡(luò)安全勞動力研究網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者應(yīng)更靈活地思考如何塑造其網(wǎng)絡(luò)安全職能的運(yùn)營模式。相比將更多的職能和能力外包給第三方專家（46%vs31%）。外包可以簡化內(nèi)部網(wǎng)絡(luò)安全職能，雖然企業(yè)越來越傾向于外包網(wǎng)絡(luò)安全工作的人員和流程，但對技術(shù)本身卻更加謹(jǐn)慎。與外包公司托管的多租戶技術(shù)解決方案相比，組織通常更希望在自己的云環(huán)境中持有技術(shù)，并根據(jù)其特定需求和風(fēng)險偏好進(jìn)行配置，同時受益于外包或聯(lián)合外包在技能和人員方面提供的能力。除此另一項(xiàng)創(chuàng)新型能力戰(zhàn)略是通過創(chuàng)建個人角色以協(xié)調(diào)業(yè)務(wù)和網(wǎng)絡(luò)安全團(tuán)隊(duì)之間的聯(lián)系。咨詢專家能夠在網(wǎng)絡(luò)安全團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)之間發(fā)揮聯(lián)絡(luò)作用，了解需求并將網(wǎng)絡(luò)安全方面的考慮因素納時間內(nèi)對組織進(jìn)行提升和轉(zhuǎn)型管理，運(yùn)行一個安全開發(fā)周期，并培訓(xùn)相關(guān)人員，這樣可以為組安全成熟度高的企業(yè)已經(jīng)將網(wǎng)絡(luò)安全融入到公司的整體結(jié)構(gòu)中，使其成為組織運(yùn)營模式中不可價值而非保護(hù)的能力（63%vs42%）產(chǎn)生了更積極的影響。網(wǎng)絡(luò)安全高成熟度的組織更加能夠贏得客戶和供應(yīng)商的信任，他們會有更強(qiáng)的信心與組織進(jìn)行交易。重新設(shè)計(jì)技術(shù)架構(gòu)可以改善溝通、協(xié)作和員工生產(chǎn)力，并提高支出效例如，由于安全風(fēng)險增加，一家零售巨頭實(shí)施圖片描述我們的研究表明，相比于網(wǎng)絡(luò)安全有效性更高的網(wǎng)絡(luò)安全成熟型企業(yè)，網(wǎng)絡(luò)安全發(fā)展中企業(yè)更有可能在安全性與創(chuàng)新增速的平衡方面遇到問題（55%vs42%），這進(jìn)一步說明了網(wǎng)絡(luò)安全要充分利用好生態(tài)系統(tǒng)的優(yōu)勢，必須從一開始就將網(wǎng)絡(luò)安全要素嵌入其中。首席信息安全官需還需要與業(yè)務(wù)決策者進(jìn)行有效溝通，妥善管理業(yè)務(wù)擴(kuò)張帶來的網(wǎng)絡(luò)安全風(fēng)會帶來網(wǎng)絡(luò)安全風(fēng)險，但如果這些風(fēng)險與機(jī)遇相比相形見絀，那么它就會成為與其他決策一樣為更有效的價值驅(qū)動網(wǎng)絡(luò)安全戰(zhàn)略付諸行動《安永2023全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)力洞察研究》揭示了令人警醒的研究結(jié)果，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者正在努力應(yīng)對當(dāng)前和預(yù)期的網(wǎng)絡(luò)安全威脅。然而，組織在網(wǎng)絡(luò)安全方面的表現(xiàn)和成果會因其采用的網(wǎng)絡(luò)安全策略而產(chǎn)生不同。組織可以通過強(qiáng)調(diào)簡化、整體思維和在組織范圍內(nèi)整合網(wǎng)絡(luò)安全考慮因素來增強(qiáng)其網(wǎng)絡(luò)安全水平。研究結(jié)果得出的關(guān)鍵?簡化網(wǎng)絡(luò)技術(shù)架構(gòu)，可以降低風(fēng)險并提高可見性。自動化?最有效的首席信息安全官能夠?qū)⑵潢P(guān)于網(wǎng)絡(luò)安全的理念?人為失誤仍然是造成網(wǎng)絡(luò)安全漏洞的主要原因。成熟的計(jì)的培訓(xùn)與自動化和預(yù)防工具相結(jié)合，實(shí)現(xiàn)員工層面的?網(wǎng)絡(luò)安全應(yīng)該被納入組織的基本結(jié)構(gòu)中，而不安永的宗旨是建設(shè)更美好的商業(yè)世界。我們致力幫在審計(jì)、咨詢、法律、戰(zhàn)略、稅務(wù)與交易的專業(yè)服務(wù)領(lǐng)域，安永團(tuán)隊(duì)對當(dāng)前最復(fù)雜迫切的挑戰(zhàn)，提出安永是指Ernst&YoungGlobalLimited的全球組織，加盟該全球組織的各成員機(jī)構(gòu)均為獨(dú)立的法律實(shí)體，各成員機(jī)構(gòu)可單獨(dú)簡稱為“安永”。Ernst&Young