仅在 2022 年,全球网络攻击就增加了 38%,造成了巨大的商业损失,包括财务和声誉损失。与此同时,由于攻击越来越复杂以及市场上推出的网络安全解决方案数量不断增加,企业安全预算大幅增加。随着威胁、预算和解决方案的增加,行业和国家如何准备有效应对当今的网络风险?
CYE 新发布的《2023 年网络安全成熟度报告》通过阐明不同行业、公司规模和国家/地区的网络安全实力来解决这个问题。它突出了哪些行业和国家拥有最强大的网络态势,哪些落后,以及当今网络威胁形势中最普遍的漏洞。
该分析基于两年的数据,收集自 15 个国家的 500 多家组织,涵盖 11 个行业和各种规模的公司。它衡量七个不同安全领域的网络安全成熟度,包括应用程序级安全、网络级安全、身份管理和远程访问等。
以下是主要发现:
网络安全成熟度报告
发现1:更大的预算并不一定意味着更好的网络安全
在国家中,挪威在总体网络安全成熟度水平上得分最高,其次是克罗地亚和日本。尽管这些国家没有美国、英国和德国等国家的大量网络安全预算,但它们确实拥有先进的监管体系。挪威、克罗地亚和日本带头的其他可能原因包括这些国家较早采用网络安全以及政府和组织的统一规划。这一发现说明了大型金融投资不一定转化为高成熟度水平。
网络安全成熟度报告
发现2:科技公司得分平均
在行业中,能源和金融行业的整体网络安全成熟度水平最高,而医疗保健、零售和政府机构则处于最低水平。令人惊讶的是,科技行业的得分约为平均水平,这可能是因为与其他行业相比,这些公司通常必须防御的攻击面更大。
平均分也可能是因为科技公司倾向于采用特别容易受到攻击和利用的新技术。此外,科技公司的增长往往比其他行业快得多,这在试图保持强大的网络态势时可能是一个额外的挑战。
发现 3:中小型组织得分高于大型组织
令人惊讶的是,中小型组织的网络安全成熟度得分高于拥有超过 10,000 名员工的组织。这可能是因为小型组织可能更容易保护他们的小型攻击面。对于中型组织,投资网络安全解决方案显然是当务之急。然而,对于大型组织而言,必须防御如此大的攻击面显然会对网络安全成熟度水平产生影响。
发现4:近三分之一的公司缺乏有效的密码策略
该研究发现,32% 的组织被发现有弱密码策略——这是一个高度可解决的问题,但公司显然没有充分解决。此外,发现 23% 的组织的身份验证机制较弱。这令人担忧,因为这两个问题的结合使黑客能够轻松登录。
提高网络安全成熟度的建议
该报告的总体要点是,大多数组织没有为网络攻击的威胁做好充分准备。但是,如果计划和支出得当,组织仍然可以在没有大量预算的情况下实现高网络安全成熟度。
为了保护自己,组织应该投资于能力,而不是工具;进行全面评估以防止黑客利用漏洞;制定具有董事会级问责制的综合网络安全方法。CYE 等网络安全优化解决方案可以通过结合技术、人员和流程来帮助管理组织网络风险并执行网络风险量化以了解威胁并确定缓解措施的优先级。
