調查：70%的CISO認為未來12個月內面臨網絡攻擊風險

網絡安全與合規(guī)公司Proofpoint,Inc.最近發(fā)布了其年度《首席信息安全官之聲》報告，該報告探討了全球首席信息安全官(CISO)面臨的主要挑戰(zhàn)、期望和優(yōu)先事項。

2024年的報告引起了人們對一個顯著趨勢的關注：盡管對網絡攻擊的擔憂不斷增加，但CISO對其防御這些威脅的能力表現(xiàn)出越來越大的信心，這反映了網絡安全格局的重大轉變。超過三分之二(70%)的受訪首席信息安全官認為未來12個月有遭受重大網絡攻擊的風險，而去年這一比例為68%，2022年為48%。今天的首席信息安全官顯然仍保持高度警惕，但他們的信心正在增強:只有43%的首席信息安全官對應對有針對性的網絡攻擊毫無準備，這一比例比去年的61%和2022年的50%明顯下降。

人為失誤仍被視為網絡安全的致命弱點，近四分之三(74%)的CISO認為人為失誤是網絡安全的最大弱點。在內部威脅和人為數(shù)據丟失不斷增加的一年里，比以往任何時候都多的CISO(80%)認為人為風險，尤其是員工疏忽大意是未來兩年網絡安全的主要隱患。然而，人們對人工智能解決方案在減輕以人為本的風險方面的作用越來越樂觀，這反映出向技術驅動防御的戰(zhàn)略轉變。

《2024年首席信息安全官之聲》報告分析了來自不同行業(yè)1000名或以上員工的1600名首席信息安全官的全球第三方調查反饋。在2024年第一季度，我們采訪了來自美國、加拿大、英國、法國、德國、意大利、西班牙、瑞典、荷蘭、阿聯(lián)酋、沙特阿拉伯、澳大利亞、日本、新加坡、韓國和巴西等16個國家的100名首席信息安全官。

該報告從保護人員和數(shù)據安全的一線人員的角度，對網絡安全狀況進行了重要分析。報告還強調了在面臨經濟壓力的情況下保持強有力的網絡安全措施的重要性，以及人為因素在組織網絡準備中的關鍵作用。該調查還衡量了安全領導者和董事會之間協(xié)調的變化，探討了他們之間的關系如何影響安全優(yōu)先事項。

盡管網絡安全形勢隨著以人為中心的威脅不斷增加而不斷發(fā)展，但《2024年首席信息安全官之聲》報告強調，全球首席信息安全官似乎正在朝著提高復原力、準備和信心的方向轉變。今年的調查結果強調了向戰(zhàn)略防御的集體轉變，包括加強教育、采用技術以及對生成式人工智能等新興威脅采取適應性方法。

Proofpoint的《2024年首席信息安全官之聲》報告的主要全球發(fā)現(xiàn)包括：

●人為錯誤仍然是網絡漏洞威脅的首要因素，但CISO開始尋求AI解決方案來提供幫助。今年，我們看到越來越多的CISO將人為錯誤視為其組織最大的網絡漏洞——今年的調查中這一比例為74%，而2023年這一比例為60%。然而，86%的CISO認為員工了解他們在保護組織方面的作用。這種信心高于前幾年——2023年為61%，2022年為60%。這可能歸因于87%的受訪CISO希望部署AI驅動的功能，來幫助防范人為錯誤和以人為中心的高級網絡威脅。

● 越來越多的CISO擔心網絡攻擊，但感到準備不足的CISO卻越來越少，這表明他們對安全措施的信心越來越強。2024年，70%的受訪CISO認為未來12個月內可能遭受重大網絡攻擊，而2023年這一比例為68%，2022年這一比例為48%。然而，只有43%的人認為他們的組織沒有準備好應對有針對性的網絡攻擊，而2023年這一比例為61%，2022年這一比例為50%。

● 生成式人工智能是首席信息安全官最關心的安全問題。2024年，54%的受訪首席信息安全官認為生成式人工智能會給其組織帶來安全風險。首席信息安全官認為會給其組織帶來風險的三大系統(tǒng)是：ChatGPT/其他genAI（44%）、Slack/Teams/Zoom/其他協(xié)作工具（39%）和Microsoft365（38%）。

● 員工流動率仍然是一個問題，但CISO相信他們的防御措施。2024年，46%的安全主管報告稱，在過去12個月中，他們不得不處理敏感數(shù)據的重大損失，其中73%的人認為員工離職是造成損失的原因之一。盡管存在這些損失，但81%的CISO認為他們有足夠的控制措施來保護他們的數(shù)據。

● 大多數(shù)CISO都采用了DLP技術并在安全教育方面投入了更多資金。2024年接受調查的CISO中有51%已采用數(shù)據丟失防護技術(DLP)，而2023年這一比例僅為35%。超過一半(53%)的受訪CISO投資于對員工進行數(shù)據安全最佳實踐教育，這一比例在2024年高于2023年(39%)。

● 勒索軟件和惡意軟件是CISO最擔心的問題。2024年，CISO認為最大的網絡安全威脅是勒索軟件攻擊(41%)、惡意軟件(38%)和電子郵件欺詐(36%)。這些主要威脅與去年不同；商業(yè)電子郵件入侵(BEC)從第一位下降，勒索軟件上升到第一位，惡意軟件上升到第二位。

● 在支付贖金方面立場穩(wěn)定，對網絡保險的依賴增加。2024年，首席信息安全官對支付贖金的看法沒有變化。62%的首席信息安全官認為，如果在未來12個月內受到勒索軟件攻擊，他們的組織將支付贖金以恢復系統(tǒng)并防止數(shù)據泄露。79%的首席信息安全官表示，他們將依靠網絡保險索賠來挽回可能造成的損失，而2023年這一比例為61%。

● 董事會與CISO的關系已顯著改善。2024年，84%的CISO同意其董事會成員在網絡安全問題上與他們意見一致。這一比例較2023年的62%和2022年的51%有顯著增長。

● CISO面臨的壓力從未消退。2024年，53%的CISO承認自己有職業(yè)倦怠感，而去年這一比例為60%，66%的CISO認為自己面臨著過高的期望，這一比例較去年的61%和2022年的49%穩(wěn)步上升。對CISO的持續(xù)期望的可持續(xù)性仍將受到考驗，66%的人擔心個人責任（2023年為62%），72%的人（2023年為61%）不會加入不提供董事和高管(D&O)保險的組織。此外，59%的CISO同意當前的經濟衰退妨礙了他們進行關鍵業(yè)務投資的能力，其中48%的人被要求裁員或推遲補員以及削減安全預算。

在我們應對當今復雜的網絡威脅環(huán)境時，看到首席信息安全官對他們的策略和工具越來越有信心，這令人欣慰。然而，員工流動率、資源壓力以及董事會持續(xù)參與的需求等持續(xù)挑戰(zhàn)提醒我們，警惕和適應是我們集體網絡彈性的關鍵。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。