《报告》基于来自500个国家的15多个组织,涵盖11个行业和各种规模的公司的两年的数据进行分析,衡量七个不同安全领域的网络安全成熟度,包括应用程序级安全性、身份管理和远程访问、网络级安全性等。
以下为《报告》的主要发现:
发现1:高网络安全预算并不等同于高质量网络安全建设成果
《报告》显示,在整体网络安全成熟度方面,挪威得分最高,其次是克罗地亚和日本,而在网络安全方面具有丰厚预算的美国、德国和英国分别位居第9、第11和第12。因此,网络安全预算并不能完全转化投入到网络安全建设中。原因在于,位居榜首的各国制定了网络安全成熟度战略规划,对网络安全风险进行量化。其中,挪威于2003年推出了首个国家网络安全战略,并随形势发展,分别在2007年和2012年先后进行两次修订。反观墨西哥,该国没有制定国家网络安全计划,鼓励私营部门独立引入自律计划,以试图抵御网络攻击。据悉,墨西哥是公共和私营部门网络攻击目标最多的拉丁美洲国家之一。
发现2:能源与金融行业网络安全建设完备
《报告》显示,在各行业整体网络安全成熟度方面,能源和金融行业名列前茅,医疗保健、政府机构和零售商最低。原因在于,金融行业包含庞大的用户隐私数据,并与用户银行账户链接,因此必须采取最高级别的安全保护,否则将在交易过程中面临受到网络攻击而泄露用户隐私的风险。零售商因疫情问题,没有足够的时间、精力及资源投入到网络安全建设中,而整体分数较低。科技行业的得分约为平均水平,可能是因为与其他行业相比,这些公司通常必须防御更大的攻击面。
发现3:中小型企业网络安全成熟度高
《报告》显示,1-50人规模的中小型企业网络安全成熟度得分高达2.55(平均分约为2.1),高于员工数超过一万人的大型企业。原因在于,端点安全方面,在中小型企业中执行严格的规则更加容易。而大型企业规模更大、资产更多,导致其攻击面更大,这将会影响其网络安全成熟度。
发现4:近三分之一的公司缺乏有效密码策略
《报告》发现,32%的企业密码策略薄弱,23%的企业身份验证机制薄弱。两方面问题相结合使得黑客的入侵能力增强,且不需要进行网络攻击,轻而易举进入公司系统内部,访问其敏感数据。
如何提高网络安全成熟度
《报告》指出,大多数组织没有为网络攻击的威胁做好充分准备。根据对现有数据的审查,以下是加强企业内系统和数据安全的建议。
• 为能力投资,提高企业网络复原力。网络复原力是指组织机构在遭遇网络攻击或其他网络事件时保持正常运营的能力,一般指具备必要的技术和组织手段,能够监测、应对此类网络事件,并从 事件中恢复、吸取经验教训,从而进一步提升复原力。网络复原力是技术系统、团队建设、组织文化以及日常运营中不可或缺的一部分。
• 制定具有董事会级别问责制的网络安全综合方法。董事会必须参与有关公司网络政策的决策,让管理层了解保护公司所需的风险和财务投资水平。
• 安全风险量化,根据数据考虑措施。识别攻击面威胁,评估与企业有关的风险,以及危害企业关键业务资产的方式。考虑关键资产的财务背景,并使用统计数据评估资产违约可能性。围绕这些数据制定计划,同时投资解决根本原因问题的综合解决方案。
京公网安备 11010802033237号
