<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    減少重大網絡安全事件的十大最佳實踐

    VSole2022-05-16 10:30:13

    研究表明,新冠疫情已將網絡安全市場帶到一個關鍵的拐點。根據一項針對全球14個不同行業的1000多家大型企業的最新調查,2020年到2021年,受訪企業遭受的重大網絡安全事故數量增加了21%,網絡安全預算增長了51%,從占公司總收入的比例從0.53%上升到0.80%。

    網絡安全成為一項戰略性業務,需要CEO及其管理團隊共同努力,以滿足監管機構、股東和董事會的更高期望。

    此外,首席信息安全官(CISO)的職責和角色正在擴大,許多人負責數據安全(49%)、客戶和內部欺詐(44%)、供應鏈管理(34%)、企業和地緣政治風險管理(30%)以及數字化轉型和業務戰略(29%)。

    然而,29%的CEO和CISO以及40%的CSO承認,他們的企業沒有為快速變化的威脅形勢做好準備。原因包括:

    • 供應鏈的復雜性(44%)
    • 數字創新的快速步伐(41%)
    • 網絡安全預算不足和缺乏行政支持(均為28%)
    • 數字資產和實物資產的融合(25%)
    • 人才短缺(24%)

    未做好準備的企業占比最高的是一些關鍵基礎設施行業,分別如下:

    • 醫療(35%)
    • 公共部門(34%)
    • 電信(31%)
    • 航空航天和國防(31%)

    在接下來的兩年中,隨著國家黑客和網絡犯罪分子的不斷增多,企業安全主管們預計來自社會工程和勒索軟件的攻擊將會增加。高管預計,這些攻擊將針對主要由軟件錯誤配置(49%)、人為錯誤(40%)、維護不善(40%)和未知資產(30%)導致的薄弱環節。

    十大最佳網絡安全實踐

    經濟學家根據26個指標評估了企業和政府組織的網絡安全績效,包括檢測、響應和緩解網絡安全漏洞的時間,以及發現的重大漏洞數量。基準研究揭示了10個最佳實踐,可以有效減少重大違規事件的可能性,以及發現和響應事件所需的時間:

    1.將網絡安全成熟度提升到最高水平

    在應用NIST網絡安全框架方面最先進的企業在關鍵指標上的表現優于其他企業,例如檢測攻擊的時間(先進企業平均用時119天,其他企業為132天)。網絡安全成熟度高的企業的年度重大安全事件也更少(先進企業為0.76,其他為0.81)。

    2.確保網絡安全預算充足

    分析發現網絡安全投資與結果之間存在明顯的相關性。2021年報告多起重大違規事件的受訪者將其總IT支出的12.3%用于網絡安全,而2021年未發生重大安全事件的受訪者的安全支出占總IT支出的12.8%。花費更多的企業還能更快地檢測和緩解安全事件。

    3.基于風險的安全管理方法

    平均而言,基于風險的安全管理者(即在風險概率和影響的定量分析方面表現出色的領導者)在2021年平均經歷了22.5起安全事件和0.75起重大違規事件,而對基于風險的安全方法不熟悉的管理者則經歷了27.1起事件和0.88起重大違規事件。此外,表現最佳的企業中,有50%及時采取了基于風險的方法來緩解風險,而表現不佳的企業中只有17%采取了基于風險的方法。

    4.讓網絡安全以人為本

    網絡安全既關乎人,也關乎技術。當企業建立安全“人員層”、創建對網絡安全風險敏感的企業文化、實施更有效的安全意識培訓計劃并制定明確的招聘和留住員工的流程時,能夠大大減少違規行為和響應時間。

    5.提高供應鏈安全能力

    44%的受訪者表示供應商數量的不斷增加使他們面臨重大的網絡安全風險。能夠及時檢測、響應和緩解的企業通常在供應鏈安全方面更加成熟。例如,在檢測時間極短的企業中,超過一半的企業在供應鏈安全方面處于領先地位,而在檢測時間較長的企業中,這一比例為25%。

    6.利用最新技術但避免產品擴散

    能夠有效避免重大網絡安全事故的企業往往已經投資了多種安全解決方案,從電子郵件安全、身份管理等基礎功能到安全信息和事件管理系統(SIEM)等更專業的工具。這些企業也更有可能采用多層、多供應商的安全方法,通過強大的基礎設施更好地監控和管理風險。

    7.優先保護IT與OT之間的聯系

    隨著數字世界和物理世界的融合,受訪者的攻擊面正在擴大。優先保護互連的IT和OT資產的企業能夠減少重大違規事件,同時縮短檢測和響應時間。

    8.利用人工智能與自動化

    自動化與人工智能和編排相結合,可幫助CISO更好地交付成果,同時將員工從繁瑣的任務中解放出來。例如,在駐留時間(檢測和修復的時間)很短的企業中,大約有30%使用智能自動化,而駐留時間很長的企業中只有17%使用智能自動化。

    9.改進對擴展攻擊面的安全控制

    由于更大規模的數字化轉型、云遷移、遠程工作和供應鏈復雜性,新冠病毒大流行期間企業攻擊面擴大了。研究表明,越來越多的公司需要實施安全控制以覆蓋其不斷擴大的技術環境。

    10.有效地衡量績效

    目前,企業平均只跟蹤4.2個網絡安全指標。更加勤奮的執行團隊能監控六個或更多指標,從而大大減少重大違規事件,對攻擊的反應也更快。

    “企業在新冠病毒大流行期間轉向數字化,現在又遭遇地緣政治緊張局勢升級,企業正面臨一個網絡安全風險的新時代,這需要企業高管及其員工之間更廣泛的團隊合作。

    實證研究表明,企業需要實施積極主動、以風險為基礎、以人為本、技術先進且資源預算充足的網絡安全戰略,將其網絡安全能力提升到更高水平,才能將風險轉化為新的競爭優勢。

    (來源:@GoUpSec)

    網絡安全供應鏈
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    從美國“國家網絡安全的總統行政命令”,談供應鏈安全風險應對
    2022-05-11 08:54:06
    美國于2021年5月12日發布了《關于改善國家網絡安全》的第14028號行政命令(以下簡稱“EO”),明確要求美國聯邦政府加強軟件供應鏈安全管控。EO的第4節指示美國國家標準與技術研究所(以下簡稱“NIST”)征求私營部門、學術界、政府機構等多方面的意見之后提供用于增強軟件供應鏈安全性的相關標準、最佳實踐與指南等內容。現有的行業標準、工具和推薦的做法源自NIST的SP 800-161。 在EO發布
    中國智能網聯汽車產業創新聯盟 | 《供應鏈網絡安全白皮書》正式立項
    2021-11-11 08:36:36
    11月7日,國際權威的第三方檢測認證機構TUV南德意志集團(以下簡稱“TUV南德”)宣布參與并牽頭編制由中國智能網聯汽車產業創新聯盟(CAICV,以下簡稱“聯盟”)發起的《供應鏈網絡安全白皮書》。
    2022年度美國網絡安全政策回顧與簡析
    2023-02-20 10:52:35
    美國 2022 版《國家安全戰略》指出,美國面臨巨大挑戰和前所未有的機遇,正處于塑造國際秩序未來的戰略競爭中。未來,美國網絡安全政策必將影響全球網絡空間態勢,對其他國家網絡空間安全和互聯網企業發展帶來重要挑戰。
    分析在供應鏈安全中的作用不斷演變
    2022-01-10 10:58:22
    分析技術如今已經成為企業管理業務的基礎,分析帶來的一些好處實際上是相互疊加的。 越來越多的企業正在使用分析來增強其安全性。他們還使用數據分析工具來幫助簡化物流流程,并確保供應鏈更有效地運作。這些企業意識到,分析對于幫助提高供應鏈系統的安全性是無價的。 到2026年,全球安全分析市場規模將超過250億美元。人們需要了解分析在供應鏈安全中的更多好處。
    美國多角色參與的軟件供應鏈安全保護措施
    2023-02-15 10:53:37
    自2020年底政府和企業網絡遭受大范圍SolarWinds攻擊以來,美國加快推出軟件供應鏈安全的各類措施。
    深度分析:美國多角色參與的軟件供應鏈安全保護措施
    2023-02-13 10:36:36
    區分角色的指南更便于軟件供應鏈各參與方明確自己的目標和責任、形成協作機制。
    2022年網絡安全的20大趨勢預測
    2021-12-31 16:16:34
    2022年,在狂濤駭浪中前行的網絡安全產業,將駛向何方?還會有哪些新的記錄和挑戰需要面對?GoUpSec整理了眾多業界專業專家和知名廠商的預測報告,匯總了2022年網絡安全的20大趨勢預測。
    拜登網絡安全行政命令實施進度報告
    2021-11-05 09:14:40
    本文總結了迄今為止拜登政府已知已完成的19項網絡安全行政命令任務的狀態。
    重磅解讀:網絡安全“合規”建設迫在眉睫的深層因素
    2022-11-30 17:01:02
    在當前國際嚴峻的威脅形勢下,網絡安全面對的挑戰依然嚴峻,合規建設任重而道遠。
    VSole
    網絡安全專家
      亚洲 欧美 自拍 唯美 另类