Zscaler近日發佈《資安長報告:2022年及以後的前景、挑戰和計畫(The CISOs Report:Perspectives, Challenges, and Plans for 2022 and Beyond)》。隨著攻擊面和威脅環境變化的速度之快,資安長要及時洞察全球威脅變化更具挑戰性。本報告提供了資安長長期以來一直想要瞭解的內容,包含:參考他人情況和經驗並比較、學習同儕計畫、獲得可靠的資料,以證明自己的資安投資是正確的。
8大主要發現
- 攻擊並未緩解。
絕大多數資安長認為本年威脅形勢比一年前更糟:75%的人證實,在此期間至少遭受過一次,最多五次受到網路攻擊,均造成了實質損失。5000人以下的企業尤其首當其衝,67.5%的企業(員工人數在1000至4999人之間)和62.2%的企業(員工人數在5000至10000人之間)遭受了多次攻擊,造成了實質損失。實際上,沒有一個組織是安全的。勒索軟體、網路釣魚/魚叉式網路釣魚和供應鏈攻擊是資安長最擔心的威脅。
中型組織(1000~4999人)是最普遍的攻擊目標。當然,任何組織都不應該認為自己不夠重要,不足以發動攻擊。攻擊者對中型企業的關注可能是因為小型企業吸引攻擊者的資產較少,而大型企業有更強大的安全防禦來保證他們的安全。
- 資安長體認當前局限。
資安長對自己檢測網路攻擊的能力比預防或應對攻擊的能力更有信心。他們也在努力量化網路安全,從投資回報率到整體財務風險,甚至是事件的累積影響。
- 供應鏈是需要克服的首要安全風險。
合作夥伴和供應商對於全球各種類型和規模的企業組織成功運作至關重要。然而,多數受訪者稱供應鏈是需要克服的首要安全風險。緊隨其後的是:未修補的軟體/系統、雲端安全相關的漏洞以及IT管理員的配置錯誤。該報告預計在不久的將來,物聯網/工業物聯網將會出現在這個名單上。
- 最需要安全改進的IT技術元件是API。
資安長認為最需要安全改進的IT技術元件是API,這在過去2-3年裡使用激增。另外還有雲端應用程式(SaaS)和雲端基礎設施(IaaS)。他們認為最需要改進的安全流程包括資料發現和分類、資料備份和恢復以及DevSecOps。這些榜單反映了隨著遠距工作的急劇升級、雲端運算的採用、BYOD和不斷變化的開發實踐而發生的IT環境的變化。
- 外部層面受影響是最大的擔憂。
資安長最擔心的網路攻擊影響是個人資料或其他敏感性資料的外洩,以及關鍵基礎設施基本服務的停機。這些破壞影響範圍非常廣泛,遠遠超出了內部範圍,如:實質損失、合規行動或業務中斷等。缺乏熟練的安全人員和需要管理的資料太多是限制資安長建立更好的安全防禦的原因。
- 零信任是首要安全任務。
資安長表示零信任已過宣傳期,未來12個月是實施或加強零信任架構的首要安全任務。近79%的公司表示已經開始實施,另有18%的公司正在積極規劃。
- 對簡化和流程化有著濃厚的興趣。
資安長在購買新安全解決方案時最看重的功能和特性是易於部署和使用。緊隨其後的是高品質警報和分析,以及自動化。這些功能都將幫助繁忙的資安長和安全團隊更快地完成更多正確的事情。
- 2023安全投資計畫反映了最新的趨勢。
總和升級和新項目的資安支出後,可發現未來12個月內名列前茅的安全技術包括網路微分割、容器安全和安全服務邊緣(SSE)平臺。
風險最大的行業當屬營建業及工具機業,分別有85%和79%經歷了至少一次造成實體損失的攻擊。從過去紀錄看,這些行業的資安防禦一直不那麼嚴密,而且改善有限。緊隨其後的是零售業,線上購物環境尤其容易遭到猛烈攻擊。受到嚴格監管的醫療保健(占65.1%)和金融服務(占63.6%)行業雖然不是受打擊最嚴重的行業,但仍面臨嚴峻威脅。
本文節錄自secrss.com。