这项研究针对本土企业、慈善机构和教育机构,他们通过Microsoft teams对十家过去三年中经历各种类型网络安全漏洞的企业员工进行了调查访谈,分析了他们在违规之前的现有安全级别、攻击的业务影响以及安全事件发生后的变化情况。关于漏洞本身,受访者表示组织能够确定原因并修复漏洞,通常需要外部供应商的支持,他们形容这是一个长期的压力。
报告指出,参与这项研究的十家企业都在过去三年里遭受了严重的网络安全攻击,随着网络攻击的数量和技术复杂度的增加,大家已经达成了一个共识,那就是网络犯罪是一个重大且日益增长的商业风险。为了应对风险,几乎所有受访者都承认,需要在网络安全方面保持更高水平的警惕和投资,因为他们发现,几年前适当的安全措施在当下已经不再有效。
几乎所有受访者都表示,他们的组织在经历了违规行为后更加重视网络安全,包括审查现有做法并显著增加对新技术解决方案的投资。在一个案例中,该组织在遭到攻击后,用更加严格的标准更换了原来的认为能够为其提供充分保护的 IT 供应商。另一案例中,在造成重大收入损失的 DDoS 攻击之后,该组织进行了调整,为其所有第三方基础设施施加了 DDoS 保护。此外,有企业在经历安全事件后,现在正进行定期的安全测试,包括持续的应急演练等。
报告指出,虽然受访者一致认为,在网络安全方面更需要提高警惕和投资,但各组织在该领域的实践存在显著差异。中型和大型组织倾向于制定正式的计划并为进一步的网络安全投资分配预算,但由于资源限制,小型企业大多没有。
令人鼓舞的是,大多受访者表示,他们的领导层已经意识到网络安全的重要性,并越来越支持在这方面的投资,有些公司已经将其视为“董事会层面的业务问题”,且由于此前受到过网络攻击,他们的组织现在已经得到了更好的保护。
受访的某IT经理认为,来自法律法规方面的遵循为企业制定了相应的标准,使得企业在数据安全方面投入了更多的资金,因为企业已经明白了他们有责任确保自己的数据安全。
京公网安备 11010802033237号
