網(wǎng)絡(luò)安全與合規(guī)公司Proofpoint,Inc.最近發(fā)布了其年度《首席信息安全官之聲》報(bào)告，該報(bào)告探討了全球首席信息安全官(CISO)面臨的主要挑戰(zhàn)、期望和優(yōu)先事項(xiàng)。

2024年的報(bào)告引起了人們對(duì)一個(gè)顯著趨勢(shì)的關(guān)注：盡管對(duì)網(wǎng)絡(luò)攻擊的擔(dān)憂不斷增加，但CISO對(duì)其防御這些威脅的能力表現(xiàn)出越來(lái)越大的信心，這反映了網(wǎng)絡(luò)安全格局的重大轉(zhuǎn)變。超過(guò)三分之二(70%)的受訪首席信息安全官認(rèn)為未來(lái)12個(gè)月有遭受重大網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，而去年這一比例為68%，2022年為48%。今天的首席信息安全官顯然仍保持高度警惕，但他們的信心正在增強(qiáng):只有43%的首席信息安全官對(duì)應(yīng)對(duì)有針對(duì)性的網(wǎng)絡(luò)攻擊毫無(wú)準(zhǔn)備，這一比例比去年的61%和2022年的50%明顯下降。

人為失誤仍被視為網(wǎng)絡(luò)安全的致命弱點(diǎn)，近四分之三(74%)的CISO認(rèn)為人為失誤是網(wǎng)絡(luò)安全的最大弱點(diǎn)。在內(nèi)部威脅和人為數(shù)據(jù)丟失不斷增加的一年里，比以往任何時(shí)候都多的CISO(80%)認(rèn)為人為風(fēng)險(xiǎn)，尤其是員工疏忽大意是未來(lái)兩年網(wǎng)絡(luò)安全的主要隱患。然而，人們對(duì)人工智能解決方案在減輕以人為本的風(fēng)險(xiǎn)方面的作用越來(lái)越樂(lè)觀，這反映出向技術(shù)驅(qū)動(dòng)防御的戰(zhàn)略轉(zhuǎn)變。

《2024年首席信息安全官之聲》報(bào)告分析了來(lái)自不同行業(yè)1000名或以上員工的1600名首席信息安全官的全球第三方調(diào)查反饋。在2024年第一季度，我們采訪了來(lái)自美國(guó)、加拿大、英國(guó)、法國(guó)、德國(guó)、意大利、西班牙、瑞典、荷蘭、阿聯(lián)酋、沙特阿拉伯、澳大利亞、日本、新加坡、韓國(guó)和巴西等16個(gè)國(guó)家的100名首席信息安全官。

該報(bào)告從保護(hù)人員和數(shù)據(jù)安全的一線人員的角度，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行了重要分析。報(bào)告還強(qiáng)調(diào)了在面臨經(jīng)濟(jì)壓力的情況下保持強(qiáng)有力的網(wǎng)絡(luò)安全措施的重要性，以及人為因素在組織網(wǎng)絡(luò)準(zhǔn)備中的關(guān)鍵作用。該調(diào)查還衡量了安全領(lǐng)導(dǎo)者和董事會(huì)之間協(xié)調(diào)的變化，探討了他們之間的關(guān)系如何影響安全優(yōu)先事項(xiàng)。

盡管網(wǎng)絡(luò)安全形勢(shì)隨著以人為中心的威脅不斷增加而不斷發(fā)展，但《2024年首席信息安全官之聲》報(bào)告強(qiáng)調(diào)，全球首席信息安全官似乎正在朝著提高復(fù)原力、準(zhǔn)備和信心的方向轉(zhuǎn)變。今年的調(diào)查結(jié)果強(qiáng)調(diào)了向戰(zhàn)略防御的集體轉(zhuǎn)變，包括加強(qiáng)教育、采用技術(shù)以及對(duì)生成式人工智能等新興威脅采取適應(yīng)性方法。

Proofpoint的《2024年首席信息安全官之聲》報(bào)告的主要全球發(fā)現(xiàn)包括：

●人為錯(cuò)誤仍然是網(wǎng)絡(luò)漏洞威脅的首要因素，但CISO開(kāi)始尋求AI解決方案來(lái)提供幫助。今年，我們看到越來(lái)越多的CISO將人為錯(cuò)誤視為其組織最大的網(wǎng)絡(luò)漏洞——今年的調(diào)查中這一比例為74%，而2023年這一比例為60%。然而，86%的CISO認(rèn)為員工了解他們?cè)诒Ｗo(hù)組織方面的作用。這種信心高于前幾年——2023年為61%，2022年為60%。這可能歸因于87%的受訪CISO希望部署AI驅(qū)動(dòng)的功能，來(lái)幫助防范人為錯(cuò)誤和以人為中心的高級(jí)網(wǎng)絡(luò)威脅。

● 越來(lái)越多的CISO擔(dān)心網(wǎng)絡(luò)攻擊，但感到準(zhǔn)備不足的CISO卻越來(lái)越少，這表明他們對(duì)安全措施的信心越來(lái)越強(qiáng)。2024年，70%的受訪CISO認(rèn)為未來(lái)12個(gè)月內(nèi)可能遭受重大網(wǎng)絡(luò)攻擊，而2023年這一比例為68%，2022年這一比例為48%。然而，只有43%的人認(rèn)為他們的組織沒(méi)有準(zhǔn)備好應(yīng)對(duì)有針對(duì)性的網(wǎng)絡(luò)攻擊，而2023年這一比例為61%，2022年這一比例為50%。

● 生成式人工智能是首席信息安全官最關(guān)心的安全問(wèn)題。2024年，54%的受訪首席信息安全官認(rèn)為生成式人工智能會(huì)給其組織帶來(lái)安全風(fēng)險(xiǎn)。首席信息安全官認(rèn)為會(huì)給其組織帶來(lái)風(fēng)險(xiǎn)的三大系統(tǒng)是：ChatGPT/其他genAI（44%）、Slack/Teams/Zoom/其他協(xié)作工具（39%）和Microsoft365（38%）。

● 員工流動(dòng)率仍然是一個(gè)問(wèn)題，但CISO相信他們的防御措施。2024年，46%的安全主管報(bào)告稱，在過(guò)去12個(gè)月中，他們不得不處理敏感數(shù)據(jù)的重大損失，其中73%的人認(rèn)為員工離職是造成損失的原因之一。盡管存在這些損失，但81%的CISO認(rèn)為他們有足夠的控制措施來(lái)保護(hù)他們的數(shù)據(jù)。

● 大多數(shù)CISO都采用了DLP技術(shù)并在安全教育方面投入了更多資金。2024年接受調(diào)查的CISO中有51%已采用數(shù)據(jù)丟失防護(hù)技術(shù)(DLP)，而2023年這一比例僅為35%。超過(guò)一半(53%)的受訪CISO投資于對(duì)員工進(jìn)行數(shù)據(jù)安全最佳實(shí)踐教育，這一比例在2024年高于2023年(39%)。

● 勒索軟件和惡意軟件是CISO最擔(dān)心的問(wèn)題。2024年，CISO認(rèn)為最大的網(wǎng)絡(luò)安全威脅是勒索軟件攻擊(41%)、惡意軟件(38%)和電子郵件欺詐(36%)。這些主要威脅與去年不同；商業(yè)電子郵件入侵(BEC)從第一位下降，勒索軟件上升到第一位，惡意軟件上升到第二位。

● 在支付贖金方面立場(chǎng)穩(wěn)定，對(duì)網(wǎng)絡(luò)保險(xiǎn)的依賴增加。2024年，首席信息安全官對(duì)支付贖金的看法沒(méi)有變化。62%的首席信息安全官認(rèn)為，如果在未來(lái)12個(gè)月內(nèi)受到勒索軟件攻擊，他們的組織將支付贖金以恢復(fù)系統(tǒng)并防止數(shù)據(jù)泄露。79%的首席信息安全官表示，他們將依靠網(wǎng)絡(luò)保險(xiǎn)索賠來(lái)挽回可能造成的損失，而2023年這一比例為61%。

● 董事會(huì)與CISO的關(guān)系已顯著改善。2024年，84%的CISO同意其董事會(huì)成員在網(wǎng)絡(luò)安全問(wèn)題上與他們意見(jiàn)一致。這一比例較2023年的62%和2022年的51%有顯著增長(zhǎng)。

● CISO面臨的壓力從未消退。2024年，53%的CISO承認(rèn)自己有職業(yè)倦怠感，而去年這一比例為60%，66%的CISO認(rèn)為自己面臨著過(guò)高的期望，這一比例較去年的61%和2022年的49%穩(wěn)步上升。對(duì)CISO的持續(xù)期望的可持續(xù)性仍將受到考驗(yàn)，66%的人擔(dān)心個(gè)人責(zé)任（2023年為62%），72%的人（2023年為61%）不會(huì)加入不提供董事和高管(D&O)保險(xiǎn)的組織。此外，59%的CISO同意當(dāng)前的經(jīng)濟(jì)衰退妨礙了他們進(jìn)行關(guān)鍵業(yè)務(wù)投資的能力，其中48%的人被要求裁員或推遲補(bǔ)員以及削減安全預(yù)算。

在我們應(yīng)對(duì)當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境時(shí)，看到首席信息安全官對(duì)他們的策略和工具越來(lái)越有信心，這令人欣慰。然而，員工流動(dòng)率、資源壓力以及董事會(huì)持續(xù)參與的需求等持續(xù)挑戰(zhàn)提醒我們，警惕和適應(yīng)是我們集體網(wǎng)絡(luò)彈性的關(guān)鍵。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。