調(diào)查顯示，網(wǎng)絡(luò)安全團(tuán)隊(duì)正努力應(yīng)對缺乏威脅可見性、終端設(shè)備、訪問權(quán)限和其他重要安全控制，這些是維護(hù)網(wǎng)絡(luò)安全態(tài)勢所必需的。

本報(bào)告基于2020年6月對美國372名IT和網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的全面在線調(diào)查結(jié)果，該調(diào)查旨在探索網(wǎng)絡(luò)安全運(yùn)營的新趨勢、挑戰(zhàn)、差距和解決方案偏好。受訪者范圍從技術(shù)主管到IT安全從業(yè)者，代表了多個(gè)行業(yè)中不同規(guī)模的組織。

調(diào)研機(jī)構(gòu)：Balbix.

[[334565]]

主要發(fā)現(xiàn)

• 64%的組織對自己的安全狀況缺乏信心。這是由于取法可見性造成的;
• 90%的組織認(rèn)為網(wǎng)絡(luò)釣魚和勒索軟件是他們組織面臨的最大威脅，但只有一半的組織對這些挑戰(zhàn)擁有足夠的可見性;
• 60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。這種資產(chǎn)安全意識的缺乏，是改善安全狀況的難點(diǎn);
• 80%的組織的用戶訪問權(quán)限都高于完成工作所需的權(quán)限;17%的人表示大多數(shù)，甚至所有用戶特權(quán)過高;
• 網(wǎng)絡(luò)安全管理者們正努力向董事會和高層傳達(dá)企業(yè)的安全狀況。

安全態(tài)勢概述

企業(yè)的安全態(tài)勢是指軟硬件資產(chǎn)、網(wǎng)絡(luò)、服務(wù)和信息的整體安全狀況。通常還包括：

• 已部署的控制和措施，以保護(hù)企業(yè)遭受網(wǎng)絡(luò)攻擊;
• 防護(hù)管理能力;
• 安全事件的響應(yīng)和恢復(fù)能力。

建議

網(wǎng)絡(luò)安全帶來了獨(dú)特的挑戰(zhàn)，比如大量攻擊面、數(shù)以萬計(jì)的IT資產(chǎn)、各種突破組織防線的手段。

圖2 ：理解安全態(tài)勢概念(來源：Balbix)

如何進(jìn)行改善：

• 發(fā)現(xiàn)并創(chuàng)建所有企業(yè)IT資產(chǎn)的實(shí)時(shí)清單;
• 持續(xù)監(jiān)控資產(chǎn)中存在的可被攻擊的載體，如軟件漏洞，網(wǎng)絡(luò)釣魚，錯(cuò)誤配置，密碼問題等;
• 分析監(jiān)控結(jié)果以獲得對風(fēng)險(xiǎn)的洞察力，并預(yù)測可能被突破的點(diǎn);
• 根據(jù)業(yè)務(wù)臨界性、持續(xù)威脅、暴露面、現(xiàn)有控制來對漏洞進(jìn)行優(yōu)先級排序，并提供說明性的操作選項(xiàng);
• 持續(xù)度量和跟蹤安全態(tài)勢改善工作。

對安全態(tài)勢的信心

調(diào)查詢問了組織對其整體安全態(tài)勢的信心水平。64%的受訪者表示，他們最多對自己的安全態(tài)勢略有自信。

模糊的安全可見性

有限的可見性和無法區(qū)分優(yōu)先級，阻礙了脆弱性管理方案的有效落地。46%的受訪者發(fā)現(xiàn)難以區(qū)分哪些漏洞是真正的威脅，哪些永遠(yuǎn)不會被利用。37%的人表示他們的可見性只擴(kuò)展到整體攻擊面的一小部分，25%的人覺得他們被太多的警報(bào)淹沒而無法采取有效行動。

圖4 組織當(dāng)前最關(guān)心的安全可見性問題

網(wǎng)絡(luò)釣魚問題凸顯，成為最大的風(fēng)險(xiǎn)

當(dāng)被問及組織所面臨的最大安全威脅時(shí)，89%的人最關(guān)心網(wǎng)絡(luò)釣魚和勒索軟件攻擊。其次是未打補(bǔ)丁的系統(tǒng)被利用(53%)和錯(cuò)誤配置(47%)所產(chǎn)生的漏洞。

對于最大的風(fēng)險(xiǎn)，可見性幾乎為零

調(diào)查詢問了組織對哪些風(fēng)險(xiǎn)領(lǐng)域具有持續(xù)可見性。68%的人認(rèn)為是未更新補(bǔ)丁的系統(tǒng)，其次是身份和訪問管理(59%)，以及網(wǎng)絡(luò)釣魚和勒索軟件(48%)。

圖6 組織具備持續(xù)可見性的風(fēng)險(xiǎn)領(lǐng)域

缺乏對網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)的可見性

員工被“釣魚”是不同規(guī)模組織的一大風(fēng)險(xiǎn)，因?yàn)閷κ謺脨阂忄]件和網(wǎng)站對用戶實(shí)施攻擊。盡管89%的組織表示釣魚是他們最大的風(fēng)險(xiǎn)領(lǐng)域，但僅有48%表示具備足夠的可視性。

若不能度量，便無法進(jìn)步

60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。83%的組織能夠確認(rèn)其資產(chǎn)覆蓋率至少有50%，這大概可以知道企業(yè)的資產(chǎn)總數(shù)，但是對于業(yè)務(wù)關(guān)鍵度和分類的覆蓋率缺很低。

這是一個(gè)重要問題，因?yàn)闆]有準(zhǔn)確和及時(shí)的清單，組織便無法改進(jìn)安全狀況。

圖8 組織資產(chǎn)管理的現(xiàn)狀調(diào)查

威脅響應(yīng)時(shí)間差異巨大

只有58%的人表示，一旦發(fā)現(xiàn)重大事件，他們可以在24小時(shí)內(nèi)確定組織內(nèi)的所有脆弱資產(chǎn)。超過40%的組織需要24小時(shí)甚至更長的時(shí)間來識別易受攻擊的系統(tǒng)，這使得他們幾乎不可能阻止快速傳播的勒索或惡意軟件的感染爆發(fā)。

圖9 不同組織的響應(yīng)時(shí)間

過高的訪問特權(quán)

近五分之一的組織報(bào)告說，大多數(shù)或所有用戶的訪問權(quán)限都超出了其工作所需的范圍。總的來說，81%的組織提供的訪問權(quán)限超出了用戶完成工作所需的權(quán)限。

圖10擁有過高權(quán)限用戶的組織

給董事會的網(wǎng)絡(luò)安全匯報(bào)通常是——“挺好的”

網(wǎng)絡(luò)安全管理者努力向董事會和高層傳達(dá)組織的安全態(tài)勢。當(dāng)被問及他們最近一次關(guān)于網(wǎng)絡(luò)安全的董事會或高管匯報(bào)時(shí)，大多數(shù)受訪者(52%)表示，他們進(jìn)行了很好的討論，表達(dá)了自己的觀點(diǎn)，但結(jié)果并不如預(yù)期那樣。只有13%的人認(rèn)為匯報(bào)進(jìn)行得很順利，且董事會能夠理解安全狀況。

圖11被訪者如何向高層匯報(bào)

應(yīng)對安全態(tài)勢面臨的挑戰(zhàn)