信息來(lái)源：Freebuf

調(diào)查顯示，網(wǎng)絡(luò)安全團(tuán)隊(duì)正努力應(yīng)對(duì)缺乏威脅可見性、終端設(shè)備、訪問權(quán)限和其他重要安全控制，這些是維護(hù)網(wǎng)絡(luò)安全態(tài)勢(shì)所必需的。

本報(bào)告基于2020年6月對(duì)美國(guó)372名IT和網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的全面在線調(diào)查結(jié)果，該調(diào)查旨在探索網(wǎng)絡(luò)安全運(yùn)營(yíng)的新趨勢(shì)、挑戰(zhàn)、差距和解決方案偏好。受訪者范圍從技術(shù)主管到IT安全從業(yè)者，代表了多個(gè)行業(yè)中不同規(guī)模的組織。

調(diào)研機(jī)構(gòu)：Balbix.

主要發(fā)現(xiàn)

64%的組織對(duì)自己的安全狀況缺乏信心。這是由于取法可見性造成的；

90%的組織認(rèn)為網(wǎng)絡(luò)釣魚和勒索軟件是他們組織面臨的最大威脅，但只有一半的組織對(duì)這些挑戰(zhàn)擁有足夠的可見性；

60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。這種資產(chǎn)安全意識(shí)的缺乏，是改善安全狀況的難點(diǎn)；

80%的組織的用戶訪問權(quán)限都高于完成工作所需的權(quán)限；17%的人表示大多數(shù)，甚至所有用戶特權(quán)過(guò)高；

網(wǎng)絡(luò)安全管理者們正努力向董事會(huì)和高層傳達(dá)企業(yè)的安全狀況。

安全態(tài)勢(shì)概述

企業(yè)的安全態(tài)勢(shì)是指軟硬件資產(chǎn)、網(wǎng)絡(luò)、服務(wù)和信息的整體安全狀況。通常還包括：

已部署的控制和措施，以保護(hù)企業(yè)遭受網(wǎng)絡(luò)攻擊；

防護(hù)管理能力；

安全事件的響應(yīng)和恢復(fù)能力。

圖1 安全態(tài)勢(shì)概念圖（來(lái)源：Balbix）

建議

網(wǎng)絡(luò)安全帶來(lái)了獨(dú)特的挑戰(zhàn)，比如大量攻擊面、數(shù)以萬(wàn)計(jì)的IT資產(chǎn)、各種突破組織防線的手段。

圖2 ：理解安全態(tài)勢(shì)概念（來(lái)源：Balbix）

如何進(jìn)行改善

1、發(fā)現(xiàn)并創(chuàng)建所有企業(yè)IT資產(chǎn)的實(shí)時(shí)清單；

2、持續(xù)監(jiān)控資產(chǎn)中存在的可被攻擊的載體，如軟件漏洞，網(wǎng)絡(luò)釣魚，錯(cuò)誤配置，密碼問題等；

3、分析監(jiān)控結(jié)果以獲得對(duì)風(fēng)險(xiǎn)的洞察力，并預(yù)測(cè)可能被突破的點(diǎn)；

4、根據(jù)業(yè)務(wù)臨界性、持續(xù)威脅、暴露面、現(xiàn)有控制來(lái)對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序，并提供說(shuō)明性的操作選項(xiàng)；

5、持續(xù)度量和跟蹤安全態(tài)勢(shì)改善工作。

對(duì)安全態(tài)勢(shì)的信心

調(diào)查詢問了組織對(duì)其整體安全態(tài)勢(shì)的信心水平。64%的受訪者表示，他們最多對(duì)自己的安全態(tài)勢(shì)略有自信。

圖3 組織對(duì)安全態(tài)勢(shì)的信心

模糊的安全可見性

有限的可見性和無(wú)法區(qū)分優(yōu)先級(jí)，阻礙了脆弱性管理方案的有效落地。46%的受訪者發(fā)現(xiàn)難以區(qū)分哪些漏洞是真正的威脅，哪些永遠(yuǎn)不會(huì)被利用。37%的人表示他們的可見性只擴(kuò)展到整體攻擊面的一小部分，25%的人覺得他們被太多的警報(bào)淹沒而無(wú)法采取有效行動(dòng)。

圖4 組織當(dāng)前最關(guān)心的安全可見性問題

網(wǎng)絡(luò)釣魚問題凸顯，成為最大的風(fēng)險(xiǎn)

當(dāng)被問及組織所面臨的最大安全威脅時(shí)，89%的人最關(guān)心網(wǎng)絡(luò)釣魚和勒索軟件攻擊。其次是未打補(bǔ)丁的系統(tǒng)被利用(53%)和錯(cuò)誤配置(47%)所產(chǎn)生的漏洞。

圖5 組織認(rèn)為最具風(fēng)險(xiǎn)的領(lǐng)域

對(duì)于最大的風(fēng)險(xiǎn)，可見性幾乎為零

調(diào)查詢問了組織對(duì)哪些風(fēng)險(xiǎn)領(lǐng)域具有持續(xù)可見性。68%的人認(rèn)為是未更新補(bǔ)丁的系統(tǒng)，其次是身份和訪問管理(59%)，以及網(wǎng)絡(luò)釣魚和勒索軟件(48%)。

圖6 組織具備持續(xù)可見性的風(fēng)險(xiǎn)領(lǐng)域

缺乏對(duì)網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)的可見性

員工被“釣魚”是不同規(guī)模組織的一大風(fēng)險(xiǎn)，因?yàn)閷?duì)手會(huì)用惡意郵件和網(wǎng)站對(duì)用戶實(shí)施攻擊。盡管89%的組織表示釣魚是他們最大的風(fēng)險(xiǎn)領(lǐng)域，但僅有48%表示具備足夠的可視性。

圖7 48%的組織對(duì)網(wǎng)絡(luò)釣魚具有充分可見性

若不能度量，便無(wú)法進(jìn)步

60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。83%的組織能夠確認(rèn)其資產(chǎn)覆蓋率至少有50%，這大概可以知道企業(yè)的資產(chǎn)總數(shù)，但是對(duì)于業(yè)務(wù)關(guān)鍵度和分類的覆蓋率缺很低。

這是一個(gè)重要問題，因?yàn)闆]有準(zhǔn)確和及時(shí)的清單，組織便無(wú)法改進(jìn)安全狀況。

圖8 組織資產(chǎn)管理的現(xiàn)狀調(diào)查

威脅響應(yīng)時(shí)間差異巨大

只有58%的人表示，一旦發(fā)現(xiàn)重大事件，他們可以在24小時(shí)內(nèi)確定組織內(nèi)的所有脆弱資產(chǎn)。超過(guò)40%的組織需要24小時(shí)甚至更長(zhǎng)的時(shí)間來(lái)識(shí)別易受攻擊的系統(tǒng)，這使得他們幾乎不可能阻止快速傳播的勒索或惡意軟件的感染爆發(fā)。

圖9 不同組織的響應(yīng)時(shí)間

過(guò)高的訪問特權(quán)

近五分之一的組織報(bào)告說(shuō)，大多數(shù)或所有用戶的訪問權(quán)限都超出了其工作所需的范圍?？偟膩?lái)說(shuō)，81%的組織提供的訪問權(quán)限超出了用戶完成工作所需的權(quán)限。

圖10擁有過(guò)高權(quán)限用戶的組織

給董事會(huì)的網(wǎng)絡(luò)安全匯報(bào)通常是——“挺好的”

網(wǎng)絡(luò)安全管理者努力向董事會(huì)和高層傳達(dá)組織的安全態(tài)勢(shì)。當(dāng)被問及他們最近一次關(guān)于網(wǎng)絡(luò)安全的董事會(huì)或高管匯報(bào)時(shí)，大多數(shù)受訪者(52%)表示，他們進(jìn)行了很好的討論，表達(dá)了自己的觀點(diǎn)，但結(jié)果并不如預(yù)期那樣。只有13%的人認(rèn)為匯報(bào)進(jìn)行得很順利，且董事會(huì)能夠理解安全狀況。

圖11被訪者如何向高層匯報(bào)

應(yīng)對(duì)安全態(tài)勢(shì)面臨的挑戰(zhàn)