近日，英國科學(xué)技術(shù)部發(fā)布了《2023年企業(yè)網(wǎng)絡(luò)安全合規(guī)調(diào)查報(bào)告》（ Cyber Security Breaches Survey ），對(duì)英國所有企業(yè)和社會(huì)性組織目前的網(wǎng)絡(luò)威脅態(tài)勢(shì)和合規(guī)建設(shè)進(jìn)行研究，同時(shí)也就如何提升新一代網(wǎng)絡(luò)應(yīng)用的合規(guī)性給出專業(yè)性建議。研究人員發(fā)現(xiàn)，由于當(dāng)前不利的經(jīng)濟(jì)環(huán)境，英國很多中小型企業(yè)及組織的管理者開始降低對(duì)網(wǎng)絡(luò)安全的重視度，有29%的受訪企業(yè)/組織表示不會(huì)將保障網(wǎng)絡(luò)應(yīng)用合規(guī)與安全作為其優(yōu)先處理的事項(xiàng)。

報(bào)告研究認(rèn)為，由于網(wǎng)絡(luò)應(yīng)用違規(guī)導(dǎo)致的安全攻擊仍然是企業(yè)組織面臨的主要威脅之一。與去年相比，中小型企業(yè)組織所報(bào)告的攻擊和違規(guī)數(shù)量有所減少，但是這并非意味著企業(yè)組織的安全態(tài)勢(shì)開始好轉(zhuǎn)，而是可能反映出，一些企業(yè)的高級(jí)管理者降低了對(duì)網(wǎng)絡(luò)安全的重視度，因此縮減了對(duì)違規(guī)網(wǎng)絡(luò)應(yīng)用或安全攻擊活動(dòng)的監(jiān)控要求。

研究發(fā)現(xiàn)，32%的受訪中小型企業(yè)組織表示過去12個(gè)月發(fā)生過數(shù)據(jù)泄密或安全攻擊事件，相比中型企業(yè)（59%）和大型企業(yè)（69%）的調(diào)研比例要低得多；

研究發(fā)現(xiàn)，英國企業(yè)所報(bào)告的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件同比下降，這種下降趨勢(shì)主要是由中小型企業(yè)推動(dòng)的，而大中型企業(yè)的調(diào)研結(jié)果與去年基本持平；

研究人員認(rèn)為，在過去12個(gè)月里，所有企業(yè)的網(wǎng)絡(luò)應(yīng)用違規(guī)行為平均成本約為1100英鎊；而大中型企業(yè)的平均成本為4960英鎊；

研究發(fā)現(xiàn)，將網(wǎng)絡(luò)安全列為優(yōu)先事項(xiàng)的組織比例已從2022年的82%下降到今年的71%。數(shù)據(jù)表明，相對(duì)于通脹和不確定性等廣泛的經(jīng)濟(jì)發(fā)展問題，網(wǎng)絡(luò)安全在中小型企業(yè)組織中的優(yōu)先級(jí)排序已經(jīng)下降，有29%的企業(yè)認(rèn)為網(wǎng)絡(luò)安全工作是不需要優(yōu)先處理的事務(wù)。

企業(yè)網(wǎng)絡(luò)衛(wèi)生能力狀況

最常見的網(wǎng)絡(luò)威脅通常相對(duì)簡(jiǎn)單，因此報(bào)告研究人員建議企業(yè)采用一套標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全措施來滿足基礎(chǔ)性的防護(hù)要求。這些措施中最常見的手段包括更新惡意軟件補(bǔ)丁、云備份、密碼應(yīng)用、權(quán)限管理和部署防火墻。然而，在近三年的調(diào)查中，企業(yè)在某些領(lǐng)域的網(wǎng)絡(luò)衛(wèi)生水平呈現(xiàn)持續(xù)下降的態(tài)勢(shì)，主要包括：

是否使用了密碼管理策略（2021年為79%，2023年為70%）；

是否使用了網(wǎng)絡(luò)防火墻（2021年為78%，2023年為66%）；

是否進(jìn)行了統(tǒng)一的身份和權(quán)限管理（2021年為75%，2023年為67%）；

是否會(huì)在14天內(nèi)進(jìn)行應(yīng)用軟件的安全更新與補(bǔ)丁修復(fù)（2021年為43%，2023年為31%）。

盡管這些趨勢(shì)主要是由于中小型企業(yè)的網(wǎng)絡(luò)安全應(yīng)用變化所引起，但是未來大型企業(yè)的合規(guī)態(tài)勢(shì)發(fā)展同樣值得高度關(guān)注。研究發(fā)現(xiàn)，大型企業(yè)組織相比中小型企業(yè)，董事會(huì)成員會(huì)更多參與公司的網(wǎng)絡(luò)安全治理工作，并且管理方法相比中小企業(yè)更為復(fù)雜，同時(shí)大型企業(yè)所報(bào)告的網(wǎng)絡(luò)風(fēng)險(xiǎn)也更少。

研究發(fā)現(xiàn)，近30%的受訪企業(yè)表示，其董事會(huì)成員或受托人會(huì)直接參與網(wǎng)絡(luò)安全管理工作，這一比例在中型企業(yè)和大型企業(yè)中分別升至41%和53%；

21%的中型企業(yè)和30%的大型企業(yè)聽說過NCSC的董事會(huì)安全監(jiān)管工具包（Board Toolkit），這一比例在2020年（該工具包推出時(shí)）分別為11%和22%；

49%的中型企業(yè)、68%的大型企業(yè)和36%的高收入慈善機(jī)構(gòu)制定了正式的網(wǎng)絡(luò)安全戰(zhàn)略。數(shù)據(jù)表明，制定該戰(zhàn)略的主要推動(dòng)因素來自政府監(jiān)管部門的壓力、審計(jì)和商業(yè)并購活動(dòng)。它也與網(wǎng)絡(luò)安全團(tuán)隊(duì)獲得運(yùn)營獨(dú)立性（例如從IT部門分割出來）的調(diào)研數(shù)據(jù)高度吻合；

研究發(fā)現(xiàn)，阻礙了董事會(huì)更多地參與網(wǎng)絡(luò)安全工作的主要因素包括：缺乏知識(shí)、培訓(xùn)和時(shí)間。這凸顯了網(wǎng)絡(luò)安全人員在如何說明網(wǎng)絡(luò)安全支出的必要性時(shí)，會(huì)面臨較大的挑戰(zhàn)。

第三方安全認(rèn)證和指導(dǎo)

報(bào)告研究發(fā)現(xiàn)，目前尋求外部網(wǎng)絡(luò)安全指導(dǎo)的英國企業(yè)比例保持穩(wěn)定。然而，仍然有大量的企業(yè)組織，包括一些大型企業(yè)，沒有積極按照政府監(jiān)管機(jī)構(gòu)給出的網(wǎng)絡(luò)安全建設(shè)指導(dǎo)方針開展安全建設(shè)，如網(wǎng)絡(luò)安全建設(shè)指南，以及政府認(rèn)可的Cyber Essentials標(biāo)準(zhǔn)或ISO 27001。

49%的受訪企業(yè)組織表示，在過去的一年里，他們從外部第三方機(jī)構(gòu)尋求網(wǎng)絡(luò)安全方面的信息或指導(dǎo)，最常見的是網(wǎng)絡(luò)安全咨詢顧問和IT審計(jì)服務(wù)；

僅有14%的受訪企業(yè)知道“Cyber Essentials”網(wǎng)絡(luò)基本評(píng)估計(jì)劃，而中型企業(yè)和大型企業(yè)的調(diào)研比例分別為50%和59%；

只有9%的企業(yè)報(bào)告遵守了ISO 27001，而在大型企業(yè)中，這一比例會(huì)更高（27%）；

調(diào)查結(jié)果表明，企業(yè)尋求外部認(rèn)證的主要因素可能源于其客戶的要求。對(duì)于組織來說，使用第三方安全服務(wù)是一種便利的方式，可以快速生成一套關(guān)于其網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化文檔，并加速其員工的網(wǎng)絡(luò)安全意識(shí)培養(yǎng)。

網(wǎng)絡(luò)安全事件響應(yīng)

報(bào)告研究發(fā)現(xiàn)，雖然絕大多數(shù)受訪企業(yè)組織表示，他們會(huì)在網(wǎng)絡(luò)安全事件發(fā)生后采取行動(dòng)進(jìn)行響應(yīng)和補(bǔ)救，但實(shí)際上，只有少數(shù)組織已經(jīng)提前制定了支持這一行動(dòng)的事件響應(yīng)計(jì)劃和流程。對(duì)大多數(shù)企業(yè)組織而言，如果提升其網(wǎng)絡(luò)安全事件響應(yīng)能力是一個(gè)需要持續(xù)改進(jìn)的領(lǐng)域。

近40%的受訪企業(yè)和機(jī)構(gòu)表示，最常見的網(wǎng)絡(luò)安全事件響應(yīng)流程就是為個(gè)人分配特定的角色和責(zé)任，并對(duì)外部報(bào)告和內(nèi)部報(bào)告進(jìn)行指導(dǎo)；

只有21%的受訪企業(yè)表示已經(jīng)制定了網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃，而這一比例在中型企業(yè)中上升到47%，在大型企業(yè)中上升到64%；

定性調(diào)查結(jié)果表明，另一個(gè)潛在改進(jìn)的領(lǐng)域是，在事件響應(yīng)方面，IT或?qū)I(yè)網(wǎng)絡(luò)團(tuán)隊(duì)與更廣泛的員工（包括管理委員會(huì)）之間的相對(duì)脫節(jié)。彌合這一差距需要IT團(tuán)隊(duì)和更廣泛的員工之間良好、定期的溝通。事后審查也被視為讓更多員工參與網(wǎng)絡(luò)安全的一種方式。

網(wǎng)絡(luò)犯罪態(tài)勢(shì)

在英國，網(wǎng)絡(luò)攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪行為，主要是根據(jù)1990年頒布的《計(jì)算機(jī)濫用法》（Computer Misuse Act 1990）和英國內(nèi)政部頒布的《計(jì)數(shù)規(guī)則》（Home Office Counting Rules）來判斷。在今年的調(diào)研中，研究人員發(fā)現(xiàn)企業(yè)組織在定義其所經(jīng)歷的違規(guī)或攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪時(shí)，面臨一些新的問題和困難。

調(diào)查結(jié)果顯示，網(wǎng)絡(luò)犯罪在大型組織中更為普遍，盡管這也可能由于小型組織缺乏事件發(fā)現(xiàn)能力或故意瞞報(bào)的結(jié)果；
在過去的12個(gè)月里，共有11%的企業(yè)組織經(jīng)歷過網(wǎng)絡(luò)犯罪，其中中型企業(yè)的比例為26%，大型企業(yè)為37%。而從另一個(gè)角度來看，共32%的企業(yè)發(fā)現(xiàn)了網(wǎng)絡(luò)安全違規(guī)或攻擊行為，但其中僅約三分之一的事件最終被定義為網(wǎng)絡(luò)犯罪活動(dòng)；

據(jù)研究人員估算，在過去12個(gè)月里，所有英國企業(yè)共遭受了239萬起網(wǎng)絡(luò)犯罪攻擊，其中大約有4.9萬起網(wǎng)絡(luò)犯罪導(dǎo)致了實(shí)際的欺詐損失和后果；英國企業(yè)每年因網(wǎng)絡(luò)犯罪造成的平均損失約為1.53萬英鎊/人。

需要重點(diǎn)改進(jìn)的領(lǐng)域

1.建立更有效的溝通和信任關(guān)系

研究結(jié)果表明，IT技術(shù)人員或安全團(tuán)隊(duì)?wèi)?yīng)該與各個(gè)業(yè)務(wù)部門建立良好、持續(xù)的溝通，因?yàn)楣噍斠环N常態(tài)化的安全意識(shí)需要依賴于雙向反饋，即員工報(bào)告可疑活動(dòng)，并聽取安全專家反饋的專業(yè)建議。它還要求安全團(tuán)隊(duì)與企業(yè)管理層建立信任關(guān)系，這種方法是開展有效網(wǎng)絡(luò)安全建設(shè)工作的基礎(chǔ)。

2.密切關(guān)注供應(yīng)鏈和第三方安全

近年來的SolarWinds和GoAnywhere零日漏洞，不斷向企業(yè)印證了密切關(guān)注第三方軟件供應(yīng)鏈安全的重要性。因?yàn)闊o論企業(yè)自己的網(wǎng)絡(luò)防御能力有多強(qiáng)大，合作伙伴的安全漏洞也會(huì)同樣導(dǎo)致防護(hù)體系的崩潰。

目前，很多大型企業(yè)都采取了行動(dòng)審查第三方供應(yīng)商的網(wǎng)絡(luò)風(fēng)險(xiǎn)。然而，這種審查在中小企業(yè)中還并不常見，企業(yè)仍然缺乏對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的認(rèn)識(shí)。研究表明，通過開展IT審計(jì)、客戶要求和監(jiān)管部門安全檢查等措施，將會(huì)推動(dòng)企業(yè)將更正式的供應(yīng)鏈安全管理流程落實(shí)到位。在此之前，企業(yè)應(yīng)該準(zhǔn)備好勒索軟件緩解清單和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃，并通過定期的網(wǎng)絡(luò)攻擊桌面演習(xí)來優(yōu)化這些網(wǎng)絡(luò)安全政策和程序的有效性。

3.落實(shí)正式的事件響應(yīng)計(jì)劃

報(bào)告顯示，盡管大多數(shù)組織聲稱他們會(huì)采取一系列措施來響應(yīng)網(wǎng)絡(luò)安全事件，但這些措施往往沒有形成標(biāo)準(zhǔn)化的流程和制度。在安全事件真正發(fā)生時(shí)，企業(yè)會(huì)陷入混亂，安全人員也不知道該扮演什么角色。

隨著網(wǎng)絡(luò)犯罪導(dǎo)致的損失不斷飆升，企業(yè)減輕損失的唯一方法是進(jìn)行更充分地準(zhǔn)備和響應(yīng)。遺憾的是，一些中小型企業(yè)組織因?yàn)榻?jīng)濟(jì)不景氣等因素而降低了對(duì)網(wǎng)絡(luò)安全的重視程度，一旦受到攻擊，其結(jié)果可能是災(zāi)難性的，不僅要承擔(dān)從攻擊中恢復(fù)的成本，還可能面臨巨額監(jiān)管處罰和商譽(yù)損失。

在當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境中，企業(yè)應(yīng)該充分認(rèn)識(shí)到網(wǎng)絡(luò)安全是不可或缺的，任何組織都可能會(huì)受到攻擊。因此，必須提前為可以出現(xiàn)的最壞情況做好準(zhǔn)備，制定一個(gè)良好的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃，并為關(guān)鍵決策者提供有效的能力培訓(xùn)和權(quán)限。文章來源地址http://www.zghlxwxcb.cn/news/detail-448234.html

到了這里，關(guān)于企業(yè)對(duì)網(wǎng)絡(luò)安全的重視度開始降低的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！