近日，英國科學技術(shù)部發(fā)布了《2023年企業(yè)網(wǎng)絡(luò)安全合規(guī)調(diào)查報告》（ Cyber Security Breaches Survey ），對英國所有企業(yè)和社會性組織目前的網(wǎng)絡(luò)威脅態(tài)勢和合規(guī)建設(shè)進行研究，同時也就如何提升新一代網(wǎng)絡(luò)應(yīng)用的合規(guī)性給出專業(yè)性建議。研究人員發(fā)現(xiàn)，由于當前不利的經(jīng)濟環(huán)境，英國很多中小型企業(yè)及組織的管理者開始降低對網(wǎng)絡(luò)安全的重視度，有29%的受訪企業(yè)/組織表示不會將保障網(wǎng)絡(luò)應(yīng)用合規(guī)與安全作為其優(yōu)先處理的事項。

報告研究認為，由于網(wǎng)絡(luò)應(yīng)用違規(guī)導致的安全攻擊仍然是企業(yè)組織面臨的主要威脅之一。與去年相比，中小型企業(yè)組織所報告的攻擊和違規(guī)數(shù)量有所減少，但是這并非意味著企業(yè)組織的安全態(tài)勢開始好轉(zhuǎn)，而是可能反映出，一些企業(yè)的高級管理者降低了對網(wǎng)絡(luò)安全的重視度，因此縮減了對違規(guī)網(wǎng)絡(luò)應(yīng)用或安全攻擊活動的監(jiān)控要求。

• 研究發(fā)現(xiàn)，32%的受訪中小型企業(yè)組織表示過去12個月發(fā)生過數(shù)據(jù)泄密或安全攻擊事件，相比中型企業(yè)（59%）和大型企業(yè)（69%）的調(diào)研比例要低得多；
• 研究發(fā)現(xiàn)，英國企業(yè)所報告的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件同比下降，這種下降趨勢主要是由中小型企業(yè)推動的，而大中型企業(yè)的調(diào)研結(jié)果與去年基本持平；
• 研究人員認為，在過去12個月里，所有企業(yè)的網(wǎng)絡(luò)應(yīng)用違規(guī)行為平均成本約為1100英鎊；而大中型企業(yè)的平均成本為4960英鎊； 
• 研究發(fā)現(xiàn)，將網(wǎng)絡(luò)安全列為優(yōu)先事項的組織比例已從2022年的82%下降到今年的71%。數(shù)據(jù)表明，相對于通脹和不確定性等廣泛的經(jīng)濟發(fā)展問題，網(wǎng)絡(luò)安全在中小型企業(yè)組織中的優(yōu)先級排序已經(jīng)下降，有29%的企業(yè)認為網(wǎng)絡(luò)安全工作是不需要優(yōu)先處理的事務(wù)。

【網(wǎng)絡(luò)安全優(yōu)先級在企業(yè)中的變化趨勢】

企業(yè)網(wǎng)絡(luò)衛(wèi)生能力狀況

最常見的網(wǎng)絡(luò)威脅通常相對簡單，因此報告研究人員建議企業(yè)采用一套標準化的網(wǎng)絡(luò)安全措施來滿足基礎(chǔ)性的防護要求。這些措施中最常見的手段包括更新惡意軟件補丁、云備份、密碼應(yīng)用、權(quán)限管理和部署防火墻。然而，在近三年的調(diào)查中，企業(yè)在某些領(lǐng)域的網(wǎng)絡(luò)衛(wèi)生水平呈現(xiàn)持續(xù)下降的態(tài)勢，主要包括：

• 是否使用了密碼管理策略（2021年為79%，2023年為70%）； 
• 是否使用了網(wǎng)絡(luò)防火墻（2021年為78%，2023年為66%）；
• 是否進行了統(tǒng)一的身份和權(quán)限管理（2021年為75%，2023年為67%）； 
• 是否會在14天內(nèi)進行應(yīng)用軟件的安全更新與補丁修復（2021年為43%，2023年為31%）。

盡管這些趨勢主要是由于中小型企業(yè)的網(wǎng)絡(luò)安全應(yīng)用變化所引起，但是未來大型企業(yè)的合規(guī)態(tài)勢發(fā)展同樣值得高度關(guān)注。研究發(fā)現(xiàn)，大型企業(yè)組織相比中小型企業(yè)，董事會成員會更多參與公司的網(wǎng)絡(luò)安全治理工作，并且管理方法相比中小企業(yè)更為復雜，同時大型企業(yè)所報告的網(wǎng)絡(luò)風險也更少。

• 研究發(fā)現(xiàn)，近30%的受訪企業(yè)表示，其董事會成員或受托人會直接參與網(wǎng)絡(luò)安全管理工作，這一比例在中型企業(yè)和大型企業(yè)中分別升至41%和53%；
• 21%的中型企業(yè)和30%的大型企業(yè)聽說過NCSC的董事會安全監(jiān)管工具包（Board Toolkit），這一比例在2020年（該工具包推出時）分別為11%和22%；
• 49%的中型企業(yè)、68%的大型企業(yè)和36%的高收入慈善機構(gòu)制定了正式的網(wǎng)絡(luò)安全戰(zhàn)略。數(shù)據(jù)表明，制定該戰(zhàn)略的主要推動因素來自政府監(jiān)管部門的壓力、審計和商業(yè)并購活動。它也與網(wǎng)絡(luò)安全團隊獲得運營獨立性（例如從IT部門分割出來）的調(diào)研數(shù)據(jù)高度吻合；

【制定網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)比例】

• 研究發(fā)現(xiàn)，阻礙了董事會更多地參與網(wǎng)絡(luò)安全工作的主要因素包括：缺乏知識、培訓和時間。這凸顯了網(wǎng)絡(luò)安全人員在如何說明網(wǎng)絡(luò)安全支出的必要性時，會面臨較大的挑戰(zhàn)。

第三方安全認證和指導

報告研究發(fā)現(xiàn)，目前尋求外部網(wǎng)絡(luò)安全指導的英國企業(yè)比例保持穩(wěn)定。然而，仍然有大量的企業(yè)組織，包括一些大型企業(yè)，沒有積極按照政府監(jiān)管機構(gòu)給出的網(wǎng)絡(luò)安全建設(shè)指導方針開展安全建設(shè)，如網(wǎng)絡(luò)安全建設(shè)指南，以及政府認可的Cyber Essentials標準或ISO 27001。

• 49%的受訪企業(yè)組織表示，在過去的一年里，他們從外部第三方機構(gòu)尋求網(wǎng)絡(luò)安全方面的信息或指導，最常見的是網(wǎng)絡(luò)安全咨詢顧問和IT審計服務(wù)；

【尋求外部網(wǎng)絡(luò)安全指導的企業(yè)比例】

• 僅有14%的受訪企業(yè)知道“Cyber Essentials”網(wǎng)絡(luò)基本評估計劃，而中型企業(yè)和大型企業(yè)的調(diào)研比例分別為50%和59%；

【了解Cyber Essentials計劃的企業(yè)比例】

• 只有9%的企業(yè)報告遵守了ISO 27001，而在大型企業(yè)中，這一比例會更高（27%）；

【遵守PCI DSS、ISO 27001和NIST標準的企業(yè)比例】

• 調(diào)查結(jié)果表明，企業(yè)尋求外部認證的主要因素可能源于其客戶的要求。對于組織來說，使用第三方安全服務(wù)是一種便利的方式，可以快速生成一套關(guān)于其網(wǎng)絡(luò)安全標準的標準化文檔，并加速其員工的網(wǎng)絡(luò)安全意識培養(yǎng)。

網(wǎng)絡(luò)安全事件響應(yīng)

報告研究發(fā)現(xiàn)，雖然絕大多數(shù)受訪企業(yè)組織表示，他們會在網(wǎng)絡(luò)安全事件發(fā)生后采取行動進行響應(yīng)和補救，但實際上，只有少數(shù)組織已經(jīng)提前制定了支持這一行動的事件響應(yīng)計劃和流程。對大多數(shù)企業(yè)組織而言，如果提升其網(wǎng)絡(luò)安全事件響應(yīng)能力是一個需要持續(xù)改進的領(lǐng)域。

• 近40%的受訪企業(yè)和機構(gòu)表示，最常見的網(wǎng)絡(luò)安全事件響應(yīng)流程就是為個人分配特定的角色和責任，并對外部報告和內(nèi)部報告進行指導；
• 只有21%的受訪企業(yè)表示已經(jīng)制定了網(wǎng)絡(luò)安全事件響應(yīng)計劃，而這一比例在中型企業(yè)中上升到47%，在大型企業(yè)中上升到64%；
• 定性調(diào)查結(jié)果表明，另一個潛在改進的領(lǐng)域是，在事件響應(yīng)方面，IT或?qū)I(yè)網(wǎng)絡(luò)團隊與更廣泛的員工（包括管理委員會）之間的相對脫節(jié)。彌合這一差距需要IT團隊和更廣泛的員工之間良好、定期的溝通。事后審查也被視為讓更多員工參與網(wǎng)絡(luò)安全的一種方式。

網(wǎng)絡(luò)犯罪態(tài)勢

在英國，網(wǎng)絡(luò)攻擊活動是否屬于網(wǎng)絡(luò)犯罪行為，主要是根據(jù)1990年頒布的《計算機濫用法》（Computer Misuse Act 1990）和英國內(nèi)政部頒布的《計數(shù)規(guī)則》（Home Office Counting Rules）來判斷。在今年的調(diào)研中，研究人員發(fā)現(xiàn)企業(yè)組織在定義其所經(jīng)歷的違規(guī)或攻擊活動是否屬于網(wǎng)絡(luò)犯罪時，面臨一些新的問題和困難。

• 調(diào)查結(jié)果顯示，網(wǎng)絡(luò)犯罪在大型組織中更為普遍，盡管這也可能由于小型組織缺乏事件發(fā)現(xiàn)能力或故意瞞報的結(jié)果；
• 在過去的12個月里，共有11%的企業(yè)組織經(jīng)歷過網(wǎng)絡(luò)犯罪，其中中型企業(yè)的比例為26%，大型企業(yè)為37%。而從另一個角度來看，共32%的企業(yè)發(fā)現(xiàn)了網(wǎng)絡(luò)安全違規(guī)或攻擊行為，但其中僅約三分之一的事件最終被定義為網(wǎng)絡(luò)犯罪活動；

【過去一年經(jīng)歷過網(wǎng)絡(luò)犯罪的企業(yè)比例】

• 據(jù)研究人員估算，在過去12個月里，所有英國企業(yè)共遭受了239萬起網(wǎng)絡(luò)犯罪攻擊，其中大約有4.9萬起網(wǎng)絡(luò)犯罪導致了實際的欺詐損失和后果；英國企業(yè)每年因網(wǎng)絡(luò)犯罪造成的平均損失約為1.53萬英鎊/人。

需要重點改進的領(lǐng)域

在本次報告中，研究人員再次強調(diào)了各種規(guī)模的企業(yè)組織，都應(yīng)該重視并積極改進網(wǎng)絡(luò)應(yīng)用的合規(guī)性和安全性：

1.建立更有效的溝通和信任關(guān)系

研究結(jié)果表明，IT技術(shù)人員或安全團隊應(yīng)該與各個業(yè)務(wù)部門建立良好、持續(xù)的溝通，因為灌輸一種常態(tài)化的安全意識需要依賴于雙向反饋，即員工報告可疑活動，并聽取安全專家反饋的專業(yè)建議。它還要求安全團隊與企業(yè)管理層建立信任關(guān)系，這種方法是開展有效網(wǎng)絡(luò)安全建設(shè)工作的基礎(chǔ)。

2.密切關(guān)注供應(yīng)鏈和第三方安全

近年來的SolarWinds和GoAnywhere零日漏洞，不斷向企業(yè)印證了密切關(guān)注第三方軟件供應(yīng)鏈安全的重要性。因為無論企業(yè)自己的網(wǎng)絡(luò)防御能力有多強大，合作伙伴的安全漏洞也會同樣導致防護體系的崩潰。

目前，很多大型企業(yè)都采取了行動審查第三方供應(yīng)商的網(wǎng)絡(luò)風險。然而，這種審查在中小企業(yè)中還并不常見，企業(yè)仍然缺乏對供應(yīng)鏈風險的認識。研究表明，通過開展IT審計、客戶要求和監(jiān)管部門安全檢查等措施，將會推動企業(yè)將更正式的供應(yīng)鏈安全管理流程落實到位。在此之前，企業(yè)應(yīng)該準備好勒索軟件緩解清單和網(wǎng)絡(luò)事件響應(yīng)計劃，并通過定期的網(wǎng)絡(luò)攻擊桌面演習來優(yōu)化這些網(wǎng)絡(luò)安全政策和程序的有效性。

3.落實正式的事件響應(yīng)計劃

報告顯示，盡管大多數(shù)組織聲稱他們會采取一系列措施來響應(yīng)網(wǎng)絡(luò)安全事件，但這些措施往往沒有形成標準化的流程和制度。在安全事件真正發(fā)生時，企業(yè)會陷入混亂，安全人員也不知道該扮演什么角色。

隨著網(wǎng)絡(luò)犯罪導致的損失不斷飆升，企業(yè)減輕損失的唯一方法是進行更充分地準備和響應(yīng)。遺憾的是，一些中小型企業(yè)組織因為經(jīng)濟不景氣等因素而降低了對網(wǎng)絡(luò)安全的重視程度，一旦受到攻擊，其結(jié)果可能是災(zāi)難性的，不僅要承擔從攻擊中恢復的成本，還可能面臨巨額監(jiān)管處罰和商譽損失。

在當今復雜的網(wǎng)絡(luò)威脅環(huán)境中，企業(yè)應(yīng)該充分認識到網(wǎng)絡(luò)安全是不可或缺的，任何組織都可能會受到攻擊。因此，必須提前為可以出現(xiàn)的最壞情況做好準備，制定一個良好的網(wǎng)絡(luò)事件響應(yīng)計劃，并為關(guān)鍵決策者提供有效的能力培訓和權(quán)限。

參考鏈接：https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2023/cyber-security-breaches-survey-2023