全球數(shù)字化給企業(yè)帶來一個直觀的安全風險是攻擊面正在持續(xù)擴大。根據(jù)CrowdStrike Falcon Surface公開的數(shù)據(jù)顯示，企業(yè)云環(huán)境中暴露的資產(chǎn)中有30%存在嚴重漏洞，針對企業(yè)的勒索攻擊、APT攻擊、數(shù)據(jù)泄露等安全事件越來越多，網(wǎng)絡攻擊方式也趨向復雜化、利益化。

與之相對應的是，企業(yè)安全團隊必須防御更多的漏洞，更多的威脅，以及未來指數(shù)級增長的網(wǎng)絡攻擊復雜性和資源投入的限制性。

而日益嚴峻的網(wǎng)絡攻擊也讓引入市場的網(wǎng)絡安全解決方案的數(shù)量，企業(yè)安全預算顯著增加。在同一時期，脆弱性也急劇增加，由此導致的安全漏洞激增導致了巨大的商業(yè)損失，包括前所未有的財務和聲譽損失，突出了組織轉(zhuǎn)變網(wǎng)絡安全方法的必要性。

在2023網(wǎng)絡安全成熟度報告，強調(diào)了哪些行業(yè)和國家擁有最強大的網(wǎng)絡態(tài)勢，哪些是滯后的，以及最普遍的漏洞；并且還研究了不同行業(yè)、國家和公司規(guī)模的得分，并就如何實現(xiàn)更好的網(wǎng)絡姿態(tài)提供建議和最佳實踐。

一、總體情況

該報告收集的數(shù)據(jù)超過2年，共150個國家、幾十個行業(yè)，在七個不同的安全領域?qū)M織進行評估。這些領域構(gòu)成了一個整體的網(wǎng)絡安全戰(zhàn)略。在保護組織內(nèi)部的關鍵資產(chǎn)方面，每個領域都扮演著不同的角色。

注：七個領域分別是數(shù)據(jù)安全；政策、程序和治理；IAM；監(jiān)控和事件響應；網(wǎng)絡安全；端點安全；應用程序安全性。

主要結(jié)果如下圖所示：

金融領域不斷上升的網(wǎng)絡攻擊數(shù)量對金融穩(wěn)定構(gòu)成威脅，并使網(wǎng)絡風險成為政策制定者關注的重點。除此之外，合規(guī)和對財務損失的擔憂促使許多公司實施網(wǎng)絡安全措施，這些都是銀行和金融科技得分較高的原因。

零售業(yè)和公共行業(yè)的平均得分較低。其中的原因，大概是實體店&網(wǎng)店的企業(yè)不認為網(wǎng)絡安全是優(yōu)先事項，此外對服務的速度要求超過網(wǎng)絡安全。公共部門依賴其客戶，沒有其他選擇，因此沒有優(yōu)先考慮安全問題；此外，他們可能很難吸引到合格的安全專業(yè)人員。

中小企業(yè)/組織獲得了最高的網(wǎng)絡安全成熟度得分。中型組織更重視網(wǎng)絡安全，并將它作為優(yōu)先事項，往往會投入更多的資源在網(wǎng)絡安全解決方案。小企業(yè)/型組織攻擊面更小，只需由一個小的安全團隊即可成功地管理。而非常大的組織成熟度低的原因是，難以防御如此龐大的攻擊面。

盡管美國、英國和德國在網(wǎng)絡安全支出方面有慷慨的預算，但它們得分并沒有最高，這說明大量的金融投資并不總是轉(zhuǎn)化為高成熟度水平。成熟度較低的具體原因，可能是缺乏適當?shù)木W(wǎng)絡安全風險量化和成熟度戰(zhàn)略規(guī)劃。反之，即使沒有龐大的網(wǎng)絡安全預算，只要合理規(guī)劃和支出，企業(yè)也可以實現(xiàn)卓越的成熟度。

挪威在大多數(shù)領域中得分最高。挪威于2003年制定了第一個國家網(wǎng)絡安全戰(zhàn)略，使挪威成為全球在這一特定領域制定國家戰(zhàn)略的首批國家之一。隨著網(wǎng)絡攻擊威脅的發(fā)展，又在2007年和2012年修訂了國家戰(zhàn)略，這也是其得分較高的原因。

墨西哥公司得分最低。墨西哥沒有國家網(wǎng)絡安全計劃，鼓勵私營部門獨立引入自我監(jiān)管計劃，試圖防范網(wǎng)絡攻擊。此外，根據(jù)一些研究，墨西哥被列為拉丁美洲國家，大多數(shù)公共和私營部門成為網(wǎng)絡攻擊的目標。

以下是各行業(yè)和國家成熟度曲線分布圖：

二、應用安全

應用安全指的是應用級的安全措施，旨在防止應用中的數(shù)據(jù)、代碼被黑客獲取、劫持。其中涉及應用開發(fā)、設計階段的安全考量，以及在應用部署后對其進行保護的產(chǎn)品和措施。簡單來說，應用安全是應用在開發(fā)流程中加入、測試安全功能的過程，防止應用出現(xiàn)安全漏洞和風險。

各個國家在應用安全維度的得分如下：

各行業(yè)得分如下：

最常見的五大問題如下：

金融企業(yè)得分最高，這點符合大家的認知。金融企業(yè)應用常為客戶提供交易服務，因此安全防護水平一直保持在較高水準。金融企業(yè)獲取的一般都是高敏感數(shù)據(jù)，并與用戶銀行賬號存在關聯(lián)，倘若這些數(shù)據(jù)出現(xiàn)泄露的問題，那么將會給企業(yè)帶來嚴重打擊。

零售公司得分最低，只有可憐的1.45。這是因為最近幾年，特別是三年疫情期間，零售行業(yè)正在快速增長，而在網(wǎng)絡安全上卻沒有投入足夠多的資源和人力，導致其整體應用安全狀態(tài)處于較低的地位。尷尬的是，零售行業(yè)因數(shù)字化而增長，卻也因數(shù)字化成為網(wǎng)絡攻擊的重點目標，由此給行業(yè)帶來嚴峻的網(wǎng)絡攻擊安全風險。

技術信息泄露和SQL漏洞依舊是應用安全領域最為常見的威脅，事實上，關于SQL漏洞利用，黑客們已經(jīng)有了非常成熟的方法，并在給應用安全領域持續(xù)帶來傷害。

值得一提的是，許多歐洲國家在這一領域的得分較低，這似乎和大家的認知有所不同，畢竟GDPR以嚴厲著稱，且已經(jīng)施行的不短的時間。

三、IT安全治理

IT安全治理是企業(yè)/組織用來確保IT系統(tǒng)安全的措施。IT安全治理為企業(yè)系統(tǒng)提供監(jiān)督，確保安全風險得到充分緩解，其安全策略往往和業(yè)務目標高度一致，同時確保企業(yè)/組織符合相應的法律法規(guī)。

國家得分和概率最高的風險點TOP5如下所示：

安全風險和成熟度之間存在著巨大的相關性。當一個組織在其網(wǎng)絡安全實踐中具有高水平的成熟度，那么就有能力識別和減少系統(tǒng)中潛在的安全風險，使得系統(tǒng)在長時間內(nèi)保持較低的安全風險等級。

如上圖所示，IT安全治理風險點top5都是我們所熟知的方向，其中一些問題甚至在20年前就已經(jīng)存在。例如"全局安全更新策略不足"就會導致漏洞反復出現(xiàn)，并為攻擊者提供了一個低門檻攻擊途徑，即便如此，依舊有不少組織會忽視更新安全策略。

國家方面，得分最高的是德國，反映了一種自上而下的IT安全治理方法，而東南亞地區(qū)在該領域得分較低，其中的原因或許是該地區(qū)網(wǎng)絡安全法規(guī)、監(jiān)管體系不太成熟。

高風險維護程序漏洞（權限管理）是所有企業(yè)/組織共同面臨的風險，因為權限管理是IT安全治理的重要一環(huán)，是強化網(wǎng)絡安全必不可少的途徑。

四、身份管理

身份與訪問管理也稱為身份管理，是指用于管理數(shù)字身份的IT安全規(guī)程、框架和解決方案。身份管理包括身份的提供與注銷、保護、驗證，以及訪問資源、執(zhí)行某些操作的授權等。雖然一個人只有一個數(shù)字身份，但他們可能有許多不同的賬戶。每個賬戶可以具有不同的訪問控制。身份管理的首要目標是確保任何給定的身份都可以訪問正確的資源。

國家和行業(yè)得分如下所示：

身份管理最常見的風險點top5如下所示：

身份管理是攻擊者在網(wǎng)絡攻擊中最常利用的方向，但是它也給企業(yè)/組織提供了一個快速改進的機會。能源和科技作為新興的行業(yè)，因而以一種十分顯著的方式迅速提高了成熟度。

和之前的調(diào)查結(jié)果一樣，身份管理最常見的風險點top5是當下企業(yè)中十分常見的場景。令人驚訝的是，弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗證機制的組合讓黑客入侵更加便捷，或者說這樣的攻擊并不需要黑客技術，攻擊者只需要登錄即可。而當訪問權限“允許訪問包含敏感信息”時，黑客可以毫不費力氣地訪問敏感數(shù)據(jù)。

能源企業(yè)/組織在該領域內(nèi)得分最高，這是因為石油、天然氣等企業(yè)一般是國家的關鍵基礎設施，隨著關鍵基礎設施成為敵對國家的重點攻擊目標，能源企業(yè)只能拼命提高安全成熟度。

阿拉伯聯(lián)合酋長國僅僅獲得1分，原因是缺乏對這個問題的認知和重視。美國、英國和澳大利亞早在1998年就制定了打擊身份盜竊的法律和政策，而阿聯(lián)酋幾年前才開始研究這個問題。直到2012年，阿聯(lián)酋才制定了《網(wǎng)絡犯罪法》，該法律仍然沒有具體解決身份盜竊和IAM問題。

五、網(wǎng)絡安全

網(wǎng)絡安全保護企業(yè)網(wǎng)絡和數(shù)據(jù)免受破壞、入侵和其他威脅。這是一個龐大的、概括性的術語，它描述了硬件和軟件解決方案，以及與網(wǎng)絡使用、可訪問性和整體威脅防護相關的流程或規(guī)則和配置。網(wǎng)絡安全涉及訪問控制、病毒和防病毒軟件、應用程序安全、網(wǎng)絡分析、網(wǎng)絡相關安全類型(端點、Web、無線)、防火墻、VPN加密等。

國家和行業(yè)得分如下所示：

網(wǎng)絡安全風險點top5：

令人驚訝的是科技公司在這一領域表現(xiàn)不佳。雖然他們雇用精通技術的人員，但這些員工往往回避處理和維護網(wǎng)絡級別的安全問題，因為里面涉及到一些低級的、平淡無奇的工作。技術人員更傾向于實現(xiàn)發(fā)展目標，從而使網(wǎng)絡安全的總體狀況缺乏。這一責任往往落在經(jīng)驗較少的人員身上，從而給行業(yè)帶來不佳的評分。另一個因素是，這是一個跨組織的長期努力，人們傾向于專注于他們特定的團隊和子網(wǎng)絡，以便更快地完成工作，而不是通過跨組織的總體努力來獲得最好的結(jié)果。

國家方面，墨西哥得分最低?！澳鞲缃鹑谙到y(tǒng)中的網(wǎng)絡安全狀況”報告分析了墨西哥金融部門的網(wǎng)絡安全，只有33%的公司使用加密控制和端點安全工具，只有54%的公司使用網(wǎng)絡安全工具（VPN、NAC、ISE、IDS/PS、網(wǎng)絡通信、安全電子郵件等）。

服務業(yè)得分遙遙領先，盡管在網(wǎng)絡安全方面，它并不是人們所期望的領導者。主要原因可能是客戶正在推動供應商應用高級別的安全措施，并把它作為開展業(yè)務的先決條件。這一領域的主要發(fā)現(xiàn)強調(diào)了2019冠狀病毒病的影響，為了允許遠程工作新冠肺炎迫使許多環(huán)境變得面向互聯(lián)網(wǎng)。

六、安全運營中心（SOC）

安全運營中心(SOC)是一個容納信息安全團隊的設施，該團隊負責持續(xù)監(jiān)控和分析組織的安全態(tài)勢。SOC團隊的目標是使用技術解決方案和一套強大的流程組合來分析、檢測和響應網(wǎng)絡安全事件。安全運營中心通常配備安全分析師和工程師，以及監(jiān)督安全運營的管理人員。SOC工作人員與組織的事件響應團隊密切合作，以確保安全問題一經(jīng)發(fā)現(xiàn)即迅速得到解決。安全運營中心監(jiān)控和分析網(wǎng)絡、服務器端點、數(shù)據(jù)庫、應用程序、網(wǎng)站和其他系統(tǒng)上的活動，尋找可能表明安全事件或安全漏洞的異?；顒印OC負責確保正確識別、分析、防御、調(diào)查和報告潛在的安全事件。

國家和行業(yè)得分如下所示：

安全運營中心風險點top5：

安全行動監(jiān)測和事件反應往往不能迅速改進，因為它需要一段時間的戰(zhàn)略投資，它的改進必須來自于技術、人員和過程的結(jié)合。金融行業(yè)依舊是該領域的領導者，因為它們歷來投資于縮短響應時間，控制網(wǎng)絡事件，并最終減少資金損失。隨著網(wǎng)絡安全法規(guī)的健全，其他行業(yè)和金融行業(yè)的差距將會縮小。

國家方面，克羅地亞排名第一。2020年，美國在薩格勒布建立了一個新的網(wǎng)絡安全運營中心和一個移動網(wǎng)絡事件響應小組。在2022年，美國網(wǎng)絡司令部歷史上第一次部署了一支精英防御網(wǎng)絡運營商團隊到克羅地亞，以尋找合作伙伴網(wǎng)絡上的惡意網(wǎng)絡活動。這一努力是在中歐和東歐國家高度警惕與俄羅斯和烏克蘭之間的戰(zhàn)爭有關的網(wǎng)絡攻擊的時候進行的。這些或許是克羅地亞在領域得分高的主要原因。

值得一提的是，監(jiān)控其實是第二道防線，但組織錯誤地將其視為第一道防線。這方面零售行業(yè)表示十分明顯，組織應該警惕被動的網(wǎng)絡安全策略，并優(yōu)先考慮在監(jiān)控之前適當投資于保護性策略和技術。

七、敏感數(shù)據(jù)管理

敏感數(shù)據(jù)是個人或組織不希望公開的信息，例如個人的信用卡信息或醫(yī)療記錄，一旦被公開往往給企業(yè)和用戶帶來危害。當企業(yè)尋求保護敏感信息時，他們需要持續(xù)了解其復雜的生態(tài)系統(tǒng)。隨著數(shù)字化轉(zhuǎn)型戰(zhàn)略的加速，網(wǎng)絡安全和隱私變得更加重要，實時了解新風險，以快速緩解威脅，并保護敏感數(shù)據(jù)對企業(yè)來說將變得更加重要。

國家和行業(yè)得分如下：

敏感數(shù)據(jù)管理風險點top5：

令人驚訝的是，作為對個人信息最敏感的行業(yè)之一，醫(yī)療保健竟然排名最低。這表明該行業(yè)對個人信息問題的認識嚴重不足，即使在我們委托提供最敏感信息的組織中也是如此?！皼]有從文件共享中刪除敏感數(shù)據(jù)”是最常見的漏洞之一，表明文件共享是整個域中的薄弱環(huán)節(jié)。

國家方面，許多必須遵守GDPR法規(guī)的歐洲國家仍然沒有達到應有的網(wǎng)絡安全水平。但值得一提的是，與其他領域相比，敏感數(shù)據(jù)管理的成熟度得分相對較高。這主要得益于法規(guī)(GDPR、CISA)方面的約束，這些法規(guī)將數(shù)據(jù)安全視為所有網(wǎng)絡安全要求的基礎。

八、端點安全

端點安全是指為解決網(wǎng)絡端點所面臨的威脅而采取的安全措施，網(wǎng)絡端點是指服務器、工作站、筆記本電腦和移動設備等設備。

國家和行業(yè)得分如下：

端點安全風險點top5：

調(diào)查數(shù)據(jù)顯示，過時的技術是影響企業(yè)/組織整體網(wǎng)絡安全水平的一個重大挑戰(zhàn)。從上圖中可以看到，中小企業(yè)在該領域的得分最高，這是因為在端點安全中有著諸多嚴格的規(guī)則，和大型企業(yè)相比，中小企業(yè)更容易執(zhí)行這些規(guī)則。

國家方面，挪威獲得了最高分，因為它增加了數(shù)字防御支出，以保護該國的關鍵IT基礎設施免受來自敵對國家網(wǎng)絡攻擊的風險。尤其是在俄烏戰(zhàn)爭中，挪威對烏克蘭進行軍事和貿(mào)易支持，導致其面臨的網(wǎng)絡安全威脅上升，進一步增加了在該領域的投入。

九、總結(jié)

本報告介紹了CYE對網(wǎng)絡安全趨勢和最佳實踐的分析結(jié)果?；趯捎脭?shù)據(jù)的審查，得出以下可增強任何組織內(nèi)系統(tǒng)和數(shù)據(jù)安全性的建議：

(1)投資于能力而不是工具。企業(yè)/組織往往熱衷于投資工具，這會帶來更大的攻擊面，而不是更多的能力，尋找一家供應商，通過將技術、人員和流程相結(jié)合，以管理組織風險并使組織能夠重新控制其網(wǎng)絡彈性，從而用功能取代工具。

(2)制定網(wǎng)絡安全董事會級別問責制。董事會必須參與公司網(wǎng)絡網(wǎng)安的決策，這是管理層了解風險和保護公司所需的財務投資水平的唯一方法。

(3)全面評估安全態(tài)勢，量化企業(yè)安全風險，并根據(jù)數(shù)據(jù)優(yōu)先考慮緩解措施。為了正確地優(yōu)先考慮緩解和分配資源，組織需要了解自身風險。通過識別來自所有攻擊面的威脅，評估哪些漏洞和發(fā)現(xiàn)與企業(yè)/組織密切相關，以及漏洞、威脅對企業(yè)關鍵業(yè)務資產(chǎn)的威脅度，從而實現(xiàn)網(wǎng)絡風險量化。考慮關鍵資產(chǎn)的財務背景，并使用統(tǒng)計數(shù)據(jù)來估計這些資產(chǎn)遭到破壞的可能性。圍繞這些數(shù)據(jù)規(guī)劃緩解措施，同時投資于解決根本原因問題的全面解決方案。