2023年網絡安全成熟度報告揭示網絡攻擊應對準備不足

僅2022年一年，全球網絡攻擊數量就增長了38%，造成大量業務損失，其中包括財務和聲譽損失。同時，企業安全預算也因日趨復雜的攻擊和進入市場的網絡安全解決方案數量增加而大幅上漲。在威脅、預算和解決方案日漸增加的當下，各行各業和世界各國該如何有效應對網絡風險？

CYE全新出爐的《2023年網絡安全成熟度報告》綜合分析各個行業、不同公司規模和世界各國的網絡安全能力，很好地回答了上述問題。報告揭示了哪些行業和國家具有較堅實的網絡態勢而哪些有所欠缺，還點出了當今網絡威脅形勢中最普遍的漏洞。

分析基于該公司兩年間從15個國家超500家企業收集到的數據，樣本橫跨11個不同行業和各類公司規模。CYE衡量了七個不同安全領域的網絡安全成熟度，包括應用程序級安全、網絡級安全、身份管理和遠程訪問等等。

主要發現如下：

圖1：各國網絡安全成熟度水平

發現1：預算更多未必意味著網絡安全狀況更佳。

各國中，挪威的整體網絡安全成熟度水平最高，其次是克羅地亞和日本。這些國家盡管沒有像美國、英國和德國等主要國家那樣擁有龐大的網絡安全預算，但他們的監管體系確實先進。挪威、克羅地亞和日本領跑各國的其他可能原因還包括這些國家采取網絡安全措施較早，而且政府和企業統一規劃。這一發現表明，大筆財務投入未必能夠轉化成較高成熟度水平。

圖2：各行業網絡安全成熟度水平

發現2：科技公司得分處在中游

各個行業中，能源和金融行業的整體網絡安全成熟度水平最高，而醫療保健、零售業和政府機構的網絡安全成熟度是最低的。令人驚訝的是，科技行業的成熟度得分僅僅處在中游，這可能是因為科技公司必須保護的攻擊面通常比其他行業更大。

處在平均線附近的得分也可能是因為科技公司慣于采用新技術，而這些技術可能特別容易遭到攻擊和漏洞利用。此外，科技公司的發展壯大通常比其他行業要快得多，這也給維護強大的網絡態勢增加了麻煩。

發現3：中小企業得分高于大型企業。

出于意料的是，中小企業的網絡安全成熟度得分比員工數量超1萬人的大型企業更高。這可能是因為小企業需要保護的攻擊面更小，保護起來相對容易。至于中型企業，投入網絡安全解決方案顯然是他們的當務之急。而大型企業需要保護如此龐大的攻擊面，明顯會影響到他們的網絡安全成熟度水平。

發現4：近三分之一的公司缺乏有效的密碼策略。

調查發現，32%的公司密碼策略薄弱——這個問題很容易解決，但這些公司顯然沒解決好。此外，23%的企業身份驗證機制薄弱。這一點令人很是憂心，因為這兩個問題疊加在一起，黑客就能夠毫不費力地登入公司。

提高網絡安全成熟度的建議

報告的總體結論是，大多數企業并沒有為網絡攻擊威脅做好充分準備。但是，就算沒有大筆預算，只要規劃支出合理，企業仍然有可能達到高度的網絡安全成熟狀態。

為保護自身，企業應該投資安全能力而非工具；進行全面評估，防止黑客利用漏洞；并且制定董事會統管的綜合網絡安全方法。CYE等網絡安全優化解決方案可以綜合技術、人員和流程來管理組織網絡風險和進行網絡風險量化，從而了解威脅和安排緩解。