ISACA 2017年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查 (2017 State of Cyber Security Study)第二部分指出,層出不窮的新威脅與持續(xù)的資源挑戰(zhàn)限制了機(jī)構(gòu)防范網(wǎng)絡(luò)入侵的能力。 在參加該調(diào)查的安全業(yè)務(wù)領(lǐng)導(dǎo)者中,有80%認(rèn)為他們的企業(yè)今年可能會遭到網(wǎng)絡(luò)攻擊,但是很多機(jī)構(gòu)在應(yīng)對威脅方面依然步履維艱。
超過半數(shù)(53%)的受調(diào)對象稱2016年的網(wǎng)絡(luò)攻擊出現(xiàn)了同比增長,主要表現(xiàn)為侵入點(diǎn)和類型的變化:
97%的機(jī)構(gòu)都加大了對物聯(lián)網(wǎng)的使用,物聯(lián)網(wǎng)取代移動業(yè)務(wù),成為網(wǎng)絡(luò)防御的重點(diǎn)對象。隨著物聯(lián)網(wǎng)在各大機(jī)構(gòu)的普及,網(wǎng)絡(luò)安全專業(yè)人士需確保實(shí)施相應(yīng)的通信協(xié)定,以防范新的威脅侵入點(diǎn)。
62%的受調(diào)對象稱在2016年曾遭受過勒索軟件的侵襲,但僅有53%的受調(diào)對象擁有正規(guī)的防范措施。考慮到最近WannaCry勒索軟件攻擊所造成的國際影響,這一數(shù)字令人擔(dān)憂。
總體來說,破壞機(jī)構(gòu)業(yè)務(wù)或用戶數(shù)據(jù)的惡意攻擊依然高居不下(78%的機(jī)構(gòu)稱遭受了此類攻擊)。
此外,不到1/3的機(jī)構(gòu)(31%)表示它們會定期測試安全管控系統(tǒng),其中的13%從未測試過。16%的機(jī)構(gòu)并沒有制定事故響應(yīng)方案。
信息系統(tǒng)審計(jì)師(CISA)、注冊信息安全員(CISM)、ISACA 董事會主席兼INTRALOT信息安全小組負(fù)責(zé)人Christos Dimitriadis博士表示,“企業(yè)所面臨的威脅和其及時或有效應(yīng)對這些威脅的防范能力之間存在很大的差距,這一點(diǎn)令人感到擔(dān)憂。網(wǎng)絡(luò)安全專家面臨著來自于機(jī)構(gòu)基礎(chǔ)設(shè)施安全的巨大需求,而且其團(tuán)隊(duì)需要得到適當(dāng)?shù)呐嘤?xùn)、資源,并為此做好準(zhǔn)備。”
網(wǎng)絡(luò)安全資源問題
今年的受調(diào)對象認(rèn)為,盡管企業(yè)領(lǐng)導(dǎo)層將網(wǎng)絡(luò)安全作為一項(xiàng)重點(diǎn)工作,但網(wǎng)絡(luò)安全專業(yè)團(tuán)隊(duì)仍面臨著不少障礙。
好消息在于:越來越多的機(jī)構(gòu)如今都已聘請了首席信息官,目前這一比例為65%,較2016年的50%有所上升。然而,安全業(yè)務(wù)領(lǐng)導(dǎo)者在填補(bǔ)網(wǎng)絡(luò)安全職務(wù)空缺方面仍是一籌莫展,今年的網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查的第一部分也提到了這一點(diǎn),近半(48%)的受調(diào)對象認(rèn)為其網(wǎng)絡(luò)團(tuán)隊(duì)的能力仍存在不足,只能解決一些簡單的網(wǎng)絡(luò)安全問題。此外,超過半數(shù)的受調(diào)對象稱,網(wǎng)絡(luò)安全專業(yè)人士對于業(yè)務(wù)缺乏了解。
雖然我們急需通過培訓(xùn)來解決上述技能短缺問題,但在四分之一的機(jī)構(gòu)當(dāng)中,網(wǎng)絡(luò)安全團(tuán)隊(duì)成員的人均培訓(xùn)預(yù)算不足1,000美元。盡管整體的網(wǎng)絡(luò)安全預(yù)算仍然較高,但今年追加網(wǎng)絡(luò)安全預(yù)算的企業(yè)卻有所減少。約半數(shù)的企業(yè)將提升其預(yù)算,較2016年的61%有所下滑。
Dimitriadis表示,“各大機(jī)構(gòu)爭相設(shè)立首席信息安全官意味著領(lǐng)導(dǎo)層對企業(yè)的安全保障愈發(fā)重視,這一點(diǎn)令人欣慰,但它并不是包治百病的靈丹妙藥。隨著惡意攻擊數(shù)量的增加,資源的短缺會讓各大機(jī)構(gòu)舉步維艱。然而,我們看到,有如此多的受調(diào)對象對于其安全業(yè)務(wù)團(tuán)隊(duì)解決復(fù)雜問題缺乏信心,因此我們深知還有更多事情有待我們完成,以應(yīng)對所有企業(yè)所面臨的緊急網(wǎng)絡(luò)安全挑戰(zhàn)。”
可登陸www.isaca.org/state-of-cyber-security-2017免費(fèi)下載ISACA 2017年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查。該調(diào)查第一部分探討了勞動力問題,第二部分討論了威脅格局。該報(bào)告將成為ISACA Cybersecurity Nexus (CSX)的最新資源,后者致力于為網(wǎng)絡(luò)安全專業(yè)人士和那些希望學(xué)習(xí)網(wǎng)絡(luò)安全技能的人士提供知識、基于技能的培訓(xùn)和基于表現(xiàn)的認(rèn)證以及職業(yè)指導(dǎo)。
關(guān)于ISACA
ISACA (isaca.org)已成立近50個年頭,是一個全球性的組織,致力于幫助個人和企業(yè)實(shí)現(xiàn)技術(shù)的積極潛能。ISACA利用其50萬專業(yè)人士的專長,以及ISACA企業(yè)績效業(yè)務(wù)分公司CMMI Institute,通過技術(shù)幫助促進(jìn)創(chuàng)新,這些專業(yè)人士遍布信息和網(wǎng)絡(luò)安全、治理、保證、風(fēng)險(xiǎn)和創(chuàng)新領(lǐng)域。
