信息化觀察網(wǎng)

2019年你最擔(dān)心的網(wǎng)絡(luò)安全問題是什么?根據(jù)安全研究中心Ponemon機(jī)構(gòu)對(duì)來自美國、英國、德國、澳大利亞、墨西哥和日本6個(gè)國家的2,410位IT及網(wǎng)絡(luò)安全界專家進(jìn)行調(diào)查來確定他們?cè)谛碌囊荒昀锞W(wǎng)絡(luò)安全和治理的首要任務(wù)。筆者對(duì)調(diào)查結(jié)果進(jìn)行了整理，希望能幫助企業(yè)安全從業(yè)人員在2019年的網(wǎng)絡(luò)安全工作中有所側(cè)重。

大多受訪者表示，2019年最擔(dān)心的網(wǎng)絡(luò)安全威脅是第三方風(fēng)險(xiǎn)，數(shù)據(jù)泄露以及對(duì)物聯(lián)網(wǎng)(IoT)或運(yùn)營技術(shù)(OT)資產(chǎn)的攻擊。

威脅

受訪者百分比：

第三方濫用或分享機(jī)密數(shù)據(jù)64%

涉及物聯(lián)網(wǎng)或OT資產(chǎn)的攻擊56%

惡意軟件對(duì)業(yè)務(wù)流程造成重大干擾54%

涉及10,000條或更多客戶或員工記錄的數(shù)據(jù)泄露52%

對(duì)公司OT基礎(chǔ)設(shè)施的攻擊導(dǎo)致工廠/運(yùn)營設(shè)備停機(jī)48%

過去24個(gè)月中經(jīng)歷的攻擊TOP 5：

調(diào)查結(jié)果顯示，過去的攻擊經(jīng)歷似乎并沒有主導(dǎo)對(duì)未來安全的擔(dān)憂。例如，盡管56%的受訪者表示他們擔(dān)心2019年涉及物聯(lián)網(wǎng)或OT資產(chǎn)的攻擊前景，但只有不到四分之一的受訪者(23%)表示他們?cè)谶^去24個(gè)月中遭遇過此類攻擊。

攻擊

受訪者百分比：

一名不小心的員工落入網(wǎng)絡(luò)釣魚陷阱，導(dǎo)致證書被盜67%

惡意軟件對(duì)業(yè)務(wù)流程造成重大干擾48%

第三方濫用或與其他第三方共享機(jī)密信息41%

網(wǎng)絡(luò)攻擊導(dǎo)致嚴(yán)重的停機(jī)故障35%

涉及10,000條或更多客戶或員工記錄的數(shù)據(jù)泄露41%

盡管過去承受的網(wǎng)絡(luò)攻擊曾給企業(yè)帶來了困擾，但大多數(shù)受訪者(59%)表示他們的企業(yè)并不試圖量化這些事件可能對(duì)他們的業(yè)務(wù)造成的損害。

2019年網(wǎng)絡(luò)安全和治理重點(diǎn)事項(xiàng)：

保持企業(yè)數(shù)據(jù)安全的可靠性需要企業(yè)內(nèi)多部門的合作。不僅包括IT和信息安全團(tuán)隊(duì)，還需治理、風(fēng)險(xiǎn)與合規(guī)團(tuán)隊(duì)的通力協(xié)作。

2019年網(wǎng)絡(luò)安全重點(diǎn)事項(xiàng)TOP 5：

在網(wǎng)絡(luò)安全方面，保持領(lǐng)先于攻擊者和降低IT安全基礎(chǔ)設(shè)施的復(fù)雜性是2019年的兩大重點(diǎn)。61%的受訪者認(rèn)為魔高一尺道高一丈，提高跟蹤那些復(fù)雜、隱身攻擊者的能力是當(dāng)務(wù)之急。同時(shí)，60%的受訪者認(rèn)為降低IT安全基礎(chǔ)架構(gòu)的復(fù)雜度對(duì)于企業(yè)而言至關(guān)重要。

網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)

受訪者百分比：

提高我們的能力，以跟上先進(jìn)和隱形的攻擊者61%

降低IT安全基礎(chǔ)架構(gòu)的復(fù)雜性60%

加強(qiáng)對(duì)敏感和機(jī)密數(shù)據(jù)的保護(hù)，杜絕未經(jīng)授權(quán)的訪問46%

加強(qiáng)對(duì)第三方訪問企業(yè)敏感和機(jī)密數(shù)據(jù)的控制42%

降低攻擊OT基礎(chǔ)架構(gòu)的風(fēng)險(xiǎn)40%

2019年治理優(yōu)先事項(xiàng)TOP 5：

治理方面，降低第三方風(fēng)險(xiǎn)是2019年的首要任務(wù)。約三分之二的受訪者(67%)表示，他們將集中精力確保第三方擁有適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)敏感和機(jī)密數(shù)據(jù)。

治理優(yōu)先事項(xiàng)

受訪者百分比：

確保第三方擁有適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)敏感和機(jī)密數(shù)據(jù)67%

加強(qiáng)與C-level高管以及董事會(huì)之間關(guān)于企業(yè)面臨的網(wǎng)絡(luò)威脅的溝通64%

增加員工培訓(xùn)，防止疏忽行為，如網(wǎng)絡(luò)釣魚詐騙或共享密碼53%

增加IT安全部門中的全職員工數(shù)量48%

為漏洞管理分配更多資源47%

我們發(fā)現(xiàn)，大多數(shù)組織沒有準(zhǔn)確地衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)的業(yè)務(wù)成本，也無法量化網(wǎng)絡(luò)攻擊對(duì)其業(yè)務(wù)可能造成的損害。因此，有關(guān)資源分配、技術(shù)投資和　　威脅優(yōu)先次序的決定是在沒有關(guān)鍵情報(bào)的情況下作出的。此外，組織無法將其使用的網(wǎng)絡(luò)風(fēng)險(xiǎn)kpi與減輕數(shù)據(jù)泄漏或安全漏洞關(guān)聯(lián)起來。