减少重大网络安全事件的十大最佳实践

研究表明，新冠疫情已将网络安全市场带到一个关键的拐点。根据一项针对全球14个不同行业的1000多家大型企业的最新调查，2020年到2021年，受访企业遭受的重大网络安全事故数量增加了21%，网络安全预算增长了51%，从占公司总收入的比例从0.53%上升到0.80%。

网络安全成为一项战略性业务，需要CEO及其管理团队共同努力，以满足监管机构、股东和董事会的更高期望。

此外，首席信息安全官(CISO)的职责和角色正在扩大，许多人负责数据安全(49%)、客户和内部欺诈(44%)、供应链管理(34%)、企业和地缘政治风险管理(30%)以及数字化转型和业务战略(29%)。

然而，29%的CEO和CISO以及40%的CSO承认，他们的企业没有为快速变化的威胁形势做好准备。原因包括：

• 供应链的复杂性(44%)

• 数字创新的快速步伐(41%)

• 网络安全预算不足和缺乏行政支持(均为28%)

• 数字资产和实物资产的融合(25%)

• 人才短缺（24%）

未做好准备的企业占比最高的是一些关键基础设施行业，分别如下：

• 医疗(35%)

• 公共部门(34%)

• 电信(31%)

• 航空航天和国防(31%)

在接下来的两年中，随着国家黑客和网络犯罪分子的不断增多，企业安全主管们预计来自社会工程和勒索软件的攻击将会增加。高管预计，这些攻击将针对主要由软件错误配置(49%)、人为错误(40%)、维护不善(40%)和未知资产(30%)导致的薄弱环节。

经济学家根据26个指标评估了企业和政府组织的网络安全绩效，包括检测、响应和缓解网络安全漏洞的时间，以及发现的重大漏洞数量。基准研究揭示了10个最佳实践，可以有效减少重大违规事件的可能性，以及发现和响应事件所需的时间：

在应用NIST网络安全框架方面最先进的企业在关键指标上的表现优于其他企业，例如检测攻击的时间（先进企业平均用时119天，其他企业为132天）。网络安全成熟度高的企业的年度重大安全事件也更少（先进企业为0.76，其他为0.81）。

分析发现网络安全投资与结果之间存在明显的相关性。2021年报告多起重大违规事件的受访者将其总IT支出的12.3%用于网络安全，而2021年未发生重大安全事件的受访者的安全支出占总IT支出的12.8%。花费更多的企业还能更快地检测和缓解安全事件。

平均而言，基于风险的安全管理者（即在风险概率和影响的定量分析方面表现出色的领导者）在2021年平均经历了22.5起安全事件和0.75起重大违规事件，而对基于风险的安全方法不熟悉的管理者则经历了27.1起事件和0.88起重大违规事件。此外，表现最佳的企业中，有50%及时采取了基于风险的方法来缓解风险，而表现不佳的企业中只有17%采取了基于风险的方法。

网络安全既关乎人，也关乎技术。当企业建立安全“人员层”、创建对网络安全风险敏感的企业文化、实施更有效的安全意识培训计划并制定明确的招聘和留住员工的流程时，能够大大减少违规行为和响应时间。

44%的受访者表示供应商数量的不断增加使他们面临重大的网络安全风险。能够及时检测、响应和缓解的企业通常在供应链安全方面更加成熟。例如，在检测时间极短的企业中，超过一半的企业在供应链安全方面处于领先地位，而在检测时间较长的企业中，这一比例为25%。

能够有效避免重大网络安全事故的企业往往已经投资了多种安全解决方案，从电子邮件安全、身份管理等基础功能到安全信息和事件管理系统(SIEM)等更专业的工具。这些企业也更有可能采用多层、多供应商的安全方法，通过强大的基础设施更好地监控和管理风险。

随着数字世界和物理世界的融合，受访者的攻击面正在扩大。优先保护互连的IT和OT资产的企业能够减少重大违规事件，同时缩短检测和响应时间。

自动化与人工智能和编排相结合，可帮助CISO更好地交付成果，同时将员工从繁琐的任务中解放出来。例如，在驻留时间（检测和修复的时间）很短的企业中，大约有30%使用智能自动化，而驻留时间很长的企业中只有17%使用智能自动化。

由于更大规模的数字化转型、云迁移、远程工作和供应链复杂性，新冠病毒大流行期间企业攻击面扩大了。研究表明，越来越多的公司需要实施安全控制以覆盖其不断扩大的技术环境。

目前，企业平均只跟踪4.2个网络安全指标。更加勤奋的执行团队能监控六个或更多指标，从而大大减少重大违规事件，对攻击的反应也更快。

“企业在新冠病毒大流行期间转向数字化，现在又遭遇地缘政治紧张局势升级，企业正面临一个网络安全风险的新时代，这需要企业高管及其员工之间更广泛的团队合作。

实证研究表明，企业需要实施积极主动、以风险为基础、以人为本、技术先进且资源预算充足的网络安全战略，将其网络安全能力提升到更高水平，才能将风险转化为新的竞争优势。