與許多企業(yè)在網(wǎng)絡安全政策不充分的情況一樣，新的研究表明，一半以上的澳大利亞企業(yè)在其網(wǎng)絡遭到破壞后甚至沒有改變其網(wǎng)絡安全策略。

安全商CyberArk公司委托市場研究機構Vanson Bourne公司進行了調(diào)查，并發(fā)布最新的2018全球高級威脅狀況報告。在對澳大利亞的企業(yè)進行的調(diào)查中，45％的受訪者表示，他們的組織無法防止攻擊者闖入內(nèi)部網(wǎng)絡。盡管存在這種高度漏洞，但有52％的人表示，即使在網(wǎng)絡攻擊之后，他們的組織也很少改變其安全策略。

這種組織慣性造成了安全最佳實踐和實際實踐之間的差距越來越大，越來越多的特權用戶帳戶將更多的暴露集中在更多功能更強大的端點設備中。

[[221903]]

根據(jù)調(diào)查顯示，一半的受訪者表示，他們的客戶數(shù)據(jù)可能面臨風險，他們沒有更多地應用“法律要求的基礎知識”，只有8％的公司持續(xù)進行安全演習來測試其安全性防御。

然而，沒有多少激勵措施可以做得更多：只有44％的公司表示，他們認可或獎勵幫助防止IT安全漏洞的員工，這遠遠落后于美國受訪者中74％的比例。

“攻擊者幾乎擁有無限的自由和靈活性，并且不斷發(fā)展他們的工具和技術。”CyberArk公司澳新（ANZ）區(qū)域總監(jiān)Matthew Brazier在一份聲明中表示，“組織規(guī)模更大，結構更緊密，就越無法更好發(fā)展其安全戰(zhàn)略和控制措施，以適應這種變化步伐。”

他說，“澳大利亞網(wǎng)絡最成熟的組織對其特權資產(chǎn)狀況有著深刻的認識，并并對這些發(fā)行、使用和審計的方式進行了強有力的控制。協(xié)調(diào)防御和預警能力以保護這些資產(chǎn)是有效安全戰(zhàn)略的基礎。”

企業(yè)更好地保護特權帳戶是ISO27001系列信息安全管理系統(tǒng)標準最新更新的核心原則，該標準于今年2月進行了修訂。

不斷擴展的標準系列包括諸如ISO27018之類的指南，該指南提供了用于保護公共云中的敏感個人數(shù)據(jù)的操作規(guī)范，以及去年的ISO27019標準，其中規(guī)定了能源公用事業(yè)行業(yè)的信息安全控制等內(nèi)容。

最近的另一個標準ISO27021規(guī)定了信息安全管理系統(tǒng)專業(yè)人員的能力要求。

根據(jù)最近由專業(yè)招聘公司Robert Half公司進行的一項調(diào)查表明，對于澳大利亞組織而言，這些最后的指導方針可能尤其重要，因為可以提高企業(yè)員工的安全知識水平。

在160位接受調(diào)查的首席信息官和首席技術官中，87％的受訪者表示他們在過去三年內(nèi)曾經(jīng)歷過組織內(nèi)部的IT安全漏洞，這些首席信息官將其員工具備潛在IT安全風險的知識平均評分評定為7分（滿分為10分）。

“雖然已經(jīng)有全面性的理解，即企業(yè)在內(nèi)部IT安全方面需要采取主動行動，”Robert Half公司澳大利亞地區(qū)總經(jīng)理Andrew Brushfield在一份聲明中表示，“企業(yè)采取必要的步驟來保護自己免受內(nèi)部IT違規(guī)是一個持續(xù)的過程。”

首席信息官通常采用的內(nèi)部IT安全措施是實施安全的備份和恢復（以39％的受訪者命名），監(jiān)控和記錄員工的在線行為（37％），為員工進行安全意識培訓（35％），開展內(nèi)部IT安全審計（33％），雇用永久和臨時IT員工來加強他們的IT安全流程（30％）。

這些措施中的每一項都有助于提升企業(yè)的整體安全性，而且它們的實施體現(xiàn)了安全性的主動性，根據(jù)CyberArk公司的數(shù)據(jù)，許多組織沒有這些安全措施。

“企業(yè)應該采取持續(xù)的安全措施，并結合技術手段和人才來管理它。”Brushfield說，“這意味著企業(yè)需要為IT安全分析師、信息安全官員、IT安全工程師等熟練的IT安全專業(yè)人員提供解決內(nèi)部和外部復雜的網(wǎng)絡安全威脅的方法。”