近日，Proofpoint發(fā)布調(diào)研報告稱，重大攻擊威脅獲取董事會的支持是全世界首席信息安全官（CISO）的頭等要務(wù)。為撰寫年度《首席信息安全官之聲》報告，Proofpoint調(diào)查訪問了1400名CISO，近一半（48%）受訪者表示，其所在組織面臨未來12個月內(nèi)遭受重大網(wǎng)絡(luò)攻擊的風(fēng)險。相比2021年近三分之二（64%）的CISO表達類似關(guān)切，今年的數(shù)據(jù)已經(jīng)大幅降低。

負(fù)責(zé)督導(dǎo)此項調(diào)查的Proofpoint全球常駐CISO Lucia Milica表示：“降幅有點驚人。新冠肺炎疫情襲來的時候，CISO匆忙上馬臨時控制措施以應(yīng)對遠程工作人員激增，使企業(yè)能夠安全運轉(zhuǎn)。歷經(jīng)兩年時間，CISO已有時間采用更長期的控制措施來支持混合工作模式。這讓許多CISO感到寬慰，覺得自己可以保護所在組織?！?/p>

僅28%的CISO將勒索軟件視為最大威脅之一

被問及自從轉(zhuǎn)向混合工作模式以來的針對性攻擊時，CISO的這種情緒就更加明顯了。超過半數(shù)（51%）的受訪者稱，隨著混合工作的增加，此類攻擊也有所上升。但是，相較于2021年58%的CISO將此類攻擊的增加歸咎于混合工作，今年的數(shù)據(jù)還是下降了。

替Proofpoint執(zhí)行這項調(diào)查的Censuswide還發(fā)現(xiàn)，對未來網(wǎng)絡(luò)攻擊的焦慮因國家而異。CISO最擔(dān)心重大網(wǎng)絡(luò)攻擊的國家是法國（80%）、加拿大（72%）和澳大利亞（68%），而最不擔(dān)心的國家包括荷蘭（28%）和沙特阿拉伯（27%）。

受訪CISO表示，其組織所面臨的主要威脅是內(nèi)部人威脅（31%）、DDos攻擊（30%）、電子郵件欺詐（30%）和云賬戶入侵（30%）。僅28%的受訪CISO將勒索軟件視為自家組織面臨的最大威脅之一，比2021年的數(shù)據(jù)略有增加。

Milica稱：“我覺得，許多安全主管在部署適當(dāng)安全控制措施應(yīng)對勒索軟件方面感到欣慰，而在內(nèi)部人威脅之類的問題上，圍繞處理流程尚存在更多細微差別?！?/p>

對CISO的期望過高

然而，根據(jù)報告，這種欣慰恐怕錯付了。很多組織似乎對任何規(guī)模的贖金要求都毫無準(zhǔn)備，42%的受訪CISO承認(rèn)，其所在機構(gòu)更比沒有制定贖金策略。十分之四的受訪CISO沒有解決勒索軟件事件的預(yù)案。

該報告還發(fā)現(xiàn)，盡管與2021年（57%）相比顯著下降，仍有近一半（49%）的CISO表示，他們的上級和同事對CISO在組織中的作用抱有過高的期望。

報告還呈現(xiàn)了CISO在組織中的角色，揭示了他們對于自己從董事會所獲支持的感受。約半數(shù)（51%）CISO表示，在網(wǎng)絡(luò)安全問題上，自己與董事會意見一致。這一比例相對于2021年的59%可謂降幅巨大。

Milica稱：“這令人驚訝，因為我覺得去年有大量媒體關(guān)注重大數(shù)據(jù)泄露事件，提升了高管層的參與度，但與董事會意見一致的比例卻下降了。我還以為會增加的?！?/p>