導讀 網絡安全與合規公司Proofpoint,Inc.最近發布了其年度《首席信息安全官之聲》報告,該報告探討了全球首席信息安全官(CISO)面臨的主要挑战、期望和優先事項。2024年的報告引起了人們對一個...
網絡安全與合規公司Proofpoint,Inc.最近發布了其年度《首席信息安全官之聲》報告,該報告探討了全球首席信息安全官(CISO)面臨的主要挑战、期望和優先事項。
2024年的報告引起了人們對一個顯著趨勢的關注:盡管對網絡攻擊的擔憂不斷增加,但CISO對其防御這些威脅的能力表現出越來越大的信心,這反映了網絡安全格局的重大轉變。超過三分之二(70%)的受訪首席信息安全官認爲未來12個月有遭受重大網絡攻擊的風險,而去年這一比例爲68%,2022年爲48%。今天的首席信息安全官顯然仍保持高度警惕,但他們的信心正在增強:只有43%的首席信息安全官對應對有針對性的網絡攻擊毫無准備,這一比例比去年的61%和2022年的50%明顯下降。
人爲失誤仍被視爲網絡安全的致命弱點,近四分之三(74%)的CISO認爲人爲失誤是網絡安全的最大弱點。在內部威脅和人爲數據丟失不斷增加的一年裏,比以往任何時候都多的CISO(80%)認爲人爲風險,尤其是員工疏忽大意是未來兩年網絡安全的主要隱患。然而,人們對人工智能解決方案在減輕以人爲本的風險方面的作用越來越樂觀,這反映出向技術驅動防御的战略轉變。
《2024年首席信息安全官之聲》報告分析了來自不同行業1000名或以上員工的1600名首席信息安全官的全球第三方調查反饋。在2024年第一季度,我們採訪了來自美國、加拿大、英國、法國、德國、意大利、西班牙、瑞典、荷蘭、阿聯酋、沙特阿拉伯、澳大利亞、日本、新加坡、韓國和巴西等16個國家的100名首席信息安全官。
該報告從保護人員和數據安全的一线人員的角度,對網絡安全狀況進行了重要分析。報告還強調了在面臨經濟壓力的情況下保持強有力的網絡安全措施的重要性,以及人爲因素在組織網絡准備中的關鍵作用。該調查還衡量了安全領導者和董事會之間協調的變化,探討了他們之間的關系如何影響安全優先事項。
盡管網絡安全形勢隨着以人爲中心的威脅不斷增加而不斷發展,但《2024年首席信息安全官之聲》報告強調,全球首席信息安全官似乎正在朝着提高復原力、准備和信心的方向轉變。今年的調查結果強調了向战略防御的集體轉變,包括加強教育、採用技術以及對生成式人工智能等新興威脅採取適應性方法。
Proofpoint的《2024年首席信息安全官之聲》報告的主要全球發現包括:
● 人爲錯誤仍然是網絡漏洞威脅的首要因素,但CISO开始尋求AI解決方案來提供幫助。今年,我們看到越來越多的CISO將人爲錯誤視爲其組織最大的網絡漏洞——今年的調查中這一比例爲74%,而2023年這一比例爲60%。然而,86%的CISO認爲員工了解他們在保護組織方面的作用。這種信心高於前幾年——2023年爲61%,2022年爲60%。這可能歸因於87%的受訪CISO希望部署AI驅動的功能,來幫助防範人爲錯誤和以人爲中心的高級網絡威脅。
● 越來越多的CISO擔心網絡攻擊,但感到准備不足的CISO卻越來越少,這表明他們對安全措施的信心越來越強。2024年,70%的受訪CISO認爲未來12個月內可能遭受重大網絡攻擊,而2023年這一比例爲68%,2022年這一比例爲48%。然而,只有43%的人認爲他們的組織沒有准備好應對有針對性的網絡攻擊,而2023年這一比例爲61%,2022年這一比例爲50%。
● 生成式人工智能是首席信息安全官最關心的安全問題。2024年,54%的受訪首席信息安全官認爲生成式人工智能會給其組織帶來安全風險。首席信息安全官認爲會給其組織帶來風險的三大系統是:ChatGPT/其他genAI(44%)、Slack/Teams/Zoom/其他協作工具(39%)和Microsoft365(38%)。
● 員工流動率仍然是一個問題,但CISO相信他們的防御措施。2024年,46%的安全主管報告稱,在過去12個月中,他們不得不處理敏感數據的重大損失,其中73%的人認爲員工離職是造成損失的原因之一。盡管存在這些損失,但81%的CISO認爲他們有足夠的控制措施來保護他們的數據。
● 大多數CISO都採用了DLP技術並在安全教育方面投入了更多資金。2024年接受調查的CISO中有51%已採用數據丟失防護技術(DLP),而2023年這一比例僅爲35%。超過一半(53%)的受訪CISO投資於對員工進行數據安全最佳實踐教育,這一比例在2024年高於2023年(39%)。
● 勒索軟件和惡意軟件是CISO最擔心的問題。2024年,CISO認爲最大的網絡安全威脅是勒索軟件攻擊(41%)、惡意軟件(38%)和電子郵件欺詐(36%)。這些主要威脅與去年不同;商業電子郵件入侵(BEC)從第一位下降,勒索軟件上升到第一位,惡意軟件上升到第二位。
● 在支付贖金方面立場穩定,對網絡保險的依賴增加。2024年,首席信息安全官對支付贖金的看法沒有變化。62%的首席信息安全官認爲,如果在未來12個月內受到勒索軟件攻擊,他們的組織將支付贖金以恢復系統並防止數據泄露。79%的首席信息安全官表示,他們將依靠網絡保險索賠來挽回可能造成的損失,而2023年這一比例爲61%。
● 董事會與CISO的關系已顯著改善。2024年,84%的CISO同意其董事會成員在網絡安全問題上與他們意見一致。這一比例較2023年的62%和2022年的51%有顯著增長。
● CISO面臨的壓力從未消退。2024年,53%的CISO承認自己有職業倦怠感,而去年這一比例爲60%,66%的CISO認爲自己面臨着過高的期望,這一比例較去年的61%和2022年的49%穩步上升。對CISO的持續期望的可持續性仍將受到考驗,66%的人擔心個人責任(2023年爲62%),72%的人(2023年爲61%)不會加入不提供董事和高管(D&O)保險的組織。此外,59%的CISO同意當前的經濟衰退妨礙了他們進行關鍵業務投資的能力,其中48%的人被要求裁員或推遲補員以及削減安全預算。
在我們應對當今復雜的網絡威脅環境時,看到首席信息安全官對他們的策略和工具越來越有信心,這令人欣慰。然而,員工流動率、資源壓力以及董事會持續參與的需求等持續挑战提醒我們,警惕和適應是我們集體網絡彈性的關鍵。
標題:調查:70%的CISO認爲未來12個月內面臨網絡攻擊風險
地址:https://www.utechfun.com/post/380492.html