約80%的企業(yè)看到了執(zhí)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的價(jià)值，65%更進(jìn)一步，還評(píng)估自身網(wǎng)絡(luò)成熟度。

信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）調(diào)查數(shù)據(jù)顯示，去年網(wǎng)絡(luò)攻擊數(shù)量大漲35%。

對(duì)很多企業(yè)來說，安全不再僅僅是評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)，還包括評(píng)估網(wǎng)絡(luò)安全計(jì)劃。

信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）《2021年網(wǎng)絡(luò)安全現(xiàn)狀》報(bào)告第二部分顯示，約80%的企業(yè)看到了執(zhí)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的價(jià)值，65%更進(jìn)一步，還評(píng)估自身網(wǎng)絡(luò)成熟度。

報(bào)告指出，執(zhí)行這些評(píng)估的企業(yè)更有可能擁有足夠的人手充實(shí)安全團(tuán)隊(duì)，也更容易獲得充足的網(wǎng)絡(luò)安全預(yù)算。而且，執(zhí)行安全計(jì)劃和成熟度評(píng)估的受訪者對(duì)自家企業(yè)的網(wǎng)絡(luò)攻擊檢測(cè)與響應(yīng)能力更有信心，自信程度比不執(zhí)行這些評(píng)估的企業(yè)高出兩倍不止。

ISACA內(nèi)容開發(fā)高級(jí)總監(jiān)Karen Heslop稱：“這是我們第一次衡量網(wǎng)絡(luò)成熟度并發(fā)現(xiàn)企業(yè)開始重視網(wǎng)絡(luò)安全，而且他們深入監(jiān)測(cè)并仔細(xì)觀察自己的安全過程是否按預(yù)期運(yùn)行。”

Heslop表示，借助ISACA的CMMI網(wǎng)絡(luò)成熟平臺(tái)或NIST網(wǎng)絡(luò)安全框架，企業(yè)可以選擇深入到自身安全運(yùn)營的細(xì)節(jié)。通過使用這些模型，企業(yè)能夠準(zhǔn)確定位不足之處，發(fā)現(xiàn)需要繼續(xù)努力的地方。

但安全工作并非總是這么簡單。ISACA的調(diào)查研究中，約30%的受訪者提到了融合風(fēng)險(xiǎn)與成熟度的難點(diǎn)和緊跟行業(yè)威脅與趨勢(shì)的挑戰(zhàn)，29%則在管理中難以區(qū)分成熟度和合規(guī)性；27%發(fā)現(xiàn)很難獲得了解和評(píng)估成熟度所需的組織性專業(yè)知識(shí)。

攻擊增多

同時(shí)，ISACA的調(diào)查還發(fā)現(xiàn)，企業(yè)遭受的攻擊數(shù)量比去年增長了35%。其他報(bào)告新鮮出爐的數(shù)據(jù)顯露出了更令人警惕的攻擊趨勢(shì)。

安永《2021年全球信息安全調(diào)查》發(fā)現(xiàn)，43%的網(wǎng)絡(luò)主管稱自己從未如此擔(dān)憂自身管理網(wǎng)絡(luò)威脅的能力，77%警告稱在過去12個(gè)月中見證了破壞性攻擊數(shù)量的上升，尤其是勒索軟件攻擊。安永去年的調(diào)查中這么說的受訪者還只有59%。

安永全球咨詢網(wǎng)絡(luò)安全主管Kris Lovejoy稱：“企業(yè)去年被迫適應(yīng)的這種變化速度造成了沉重的代價(jià)。需快速變革才能生存，就意味著安全常常得不到重視。單純繼續(xù)前進(jìn)的風(fēng)險(xiǎn)是非常現(xiàn)實(shí)且越來越緊迫的，尤其是企業(yè)希望在后疫情時(shí)代保持一些有效操作，卻又不解決網(wǎng)絡(luò)漏洞的情況下。近期的勒索軟件事件不過是強(qiáng)調(diào)了立即采取行動(dòng)的重要性。”

技術(shù)層面上，ISACA調(diào)查中約34%的受訪者稱其安全運(yùn)營中用到了人工智能和機(jī)器學(xué)習(xí)。

Heslop稱：“這與我們一直以來看到的網(wǎng)絡(luò)安全人才供不應(yīng)求的局面有關(guān)。企業(yè)希望自動(dòng)化安全運(yùn)營中心的手動(dòng)過程，讓安全運(yùn)營團(tuán)隊(duì)成員可以集中精力做更高級(jí)別的設(shè)計(jì)與分析工作。”

不過，我們尚不清楚新冠肺炎疫情對(duì)安全策略的具體影響。目前這方面的數(shù)據(jù)是相互矛盾的。

ISACA報(bào)告發(fā)現(xiàn)，僅12%的受訪者因新冠肺炎疫情而部署了SASE模型，部署了零信任模型的受訪者占比只有23%。鑒于安全專業(yè)人員對(duì)這些技術(shù)的高討論度，如此低的部署情況數(shù)據(jù)有些令人吃驚，但Heslop提醒讀者注意，有些企業(yè)可能在疫情爆發(fā)以前就部署了SASE和零信任模型。

同時(shí)，F(xiàn)ireMon最近的調(diào)查顯示出，43%的零售行業(yè)企業(yè)認(rèn)為新冠肺炎疫情加速了其IT基礎(chǔ)設(shè)施向云端遷移，但安全團(tuán)隊(duì)卻因后續(xù)云應(yīng)用的增多而需應(yīng)對(duì)復(fù)雜度上升的局面。該調(diào)查顯示，零售業(yè)受訪者中約81%已經(jīng)實(shí)現(xiàn)零信任架構(gòu)，或計(jì)劃在兩年之內(nèi)實(shí)現(xiàn)此架構(gòu)。

ISACA《2021年網(wǎng)絡(luò)安全狀態(tài)》

https://www.isaca.org/go/state-of-cybersecurity-2021