信息來(lái)源:Freebuf
調(diào)查顯示,網(wǎng)絡(luò)安全團(tuán)隊(duì)正努力應(yīng)對(duì)缺乏威脅可見(jiàn)性、終端設(shè)備、訪問(wèn)權(quán)限和其他重要安全控制,這些是維護(hù)網(wǎng)絡(luò)安全態(tài)勢(shì)所必需的。
本報(bào)告基于2020年6月對(duì)美國(guó)372名IT和網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的全面在線調(diào)查結(jié)果,該調(diào)查旨在探索網(wǎng)絡(luò)安全運(yùn)營(yíng)的新趨勢(shì)、挑戰(zhàn)、差距和解決方案偏好。受訪者范圍從技術(shù)主管到IT安全從業(yè)者,代表了多個(gè)行業(yè)中不同規(guī)模的組織。
調(diào)研機(jī)構(gòu):Balbix.
主要發(fā)現(xiàn)
64%的組織對(duì)自己的安全狀況缺乏信心。這是由于取法可見(jiàn)性造成的;
90%的組織認(rèn)為網(wǎng)絡(luò)釣魚(yú)和勒索軟件是他們組織面臨的最大威脅,但只有一半的組織對(duì)這些挑戰(zhàn)擁有足夠的可見(jiàn)性;
60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。這種資產(chǎn)安全意識(shí)的缺乏,是改善安全狀況的難點(diǎn);
80%的組織的用戶訪問(wèn)權(quán)限都高于完成工作所需的權(quán)限;17%的人表示大多數(shù),甚至所有用戶特權(quán)過(guò)高;
網(wǎng)絡(luò)安全管理者們正努力向董事會(huì)和高層傳達(dá)企業(yè)的安全狀況。
安全態(tài)勢(shì)概述
企業(yè)的安全態(tài)勢(shì)是指軟硬件資產(chǎn)、網(wǎng)絡(luò)、服務(wù)和信息的整體安全狀況。通常還包括:
已部署的控制和措施,以保護(hù)企業(yè)遭受網(wǎng)絡(luò)攻擊;
防護(hù)管理能力;
安全事件的響應(yīng)和恢復(fù)能力。
圖1 安全態(tài)勢(shì)概念圖(來(lái)源:Balbix)
建議
網(wǎng)絡(luò)安全帶來(lái)了獨(dú)特的挑戰(zhàn),比如大量攻擊面、數(shù)以萬(wàn)計(jì)的IT資產(chǎn)、各種突破組織防線的手段。
圖2 :理解安全態(tài)勢(shì)概念(來(lái)源:Balbix)
如何進(jìn)行改善
1、發(fā)現(xiàn)并創(chuàng)建所有企業(yè)IT資產(chǎn)的實(shí)時(shí)清單;
2、持續(xù)監(jiān)控資產(chǎn)中存在的可被攻擊的載體,如軟件漏洞,網(wǎng)絡(luò)釣魚(yú),錯(cuò)誤配置,密碼問(wèn)題等;
3、分析監(jiān)控結(jié)果以獲得對(duì)風(fēng)險(xiǎn)的洞察力,并預(yù)測(cè)可能被突破的點(diǎn);
4、根據(jù)業(yè)務(wù)臨界性、持續(xù)威脅、暴露面、現(xiàn)有控制來(lái)對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序,并提供說(shuō)明性的操作選項(xiàng);
5、持續(xù)度量和跟蹤安全態(tài)勢(shì)改善工作。
對(duì)安全態(tài)勢(shì)的信心
調(diào)查詢問(wèn)了組織對(duì)其整體安全態(tài)勢(shì)的信心水平。64%的受訪者表示,他們最多對(duì)自己的安全態(tài)勢(shì)略有自信。
圖3 組織對(duì)安全態(tài)勢(shì)的信心
模糊的安全可見(jiàn)性
有限的可見(jiàn)性和無(wú)法區(qū)分優(yōu)先級(jí),阻礙了脆弱性管理方案的有效落地。46%的受訪者發(fā)現(xiàn)難以區(qū)分哪些漏洞是真正的威脅,哪些永遠(yuǎn)不會(huì)被利用。37%的人表示他們的可見(jiàn)性只擴(kuò)展到整體攻擊面的一小部分,25%的人覺(jué)得他們被太多的警報(bào)淹沒(méi)而無(wú)法采取有效行動(dòng)。
圖4 組織當(dāng)前最關(guān)心的安全可見(jiàn)性問(wèn)題
網(wǎng)絡(luò)釣魚(yú)問(wèn)題凸顯,成為最大的風(fēng)險(xiǎn)
當(dāng)被問(wèn)及組織所面臨的最大安全威脅時(shí),89%的人最關(guān)心網(wǎng)絡(luò)釣魚(yú)和勒索軟件攻擊。其次是未打補(bǔ)丁的系統(tǒng)被利用(53%)和錯(cuò)誤配置(47%)所產(chǎn)生的漏洞。
圖5 組織認(rèn)為最具風(fēng)險(xiǎn)的領(lǐng)域
對(duì)于最大的風(fēng)險(xiǎn),可見(jiàn)性幾乎為零
調(diào)查詢問(wèn)了組織對(duì)哪些風(fēng)險(xiǎn)領(lǐng)域具有持續(xù)可見(jiàn)性。68%的人認(rèn)為是未更新補(bǔ)丁的系統(tǒng),其次是身份和訪問(wèn)管理(59%),以及網(wǎng)絡(luò)釣魚(yú)和勒索軟件(48%)。
圖6 組織具備持續(xù)可見(jiàn)性的風(fēng)險(xiǎn)領(lǐng)域
缺乏對(duì)網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)的可見(jiàn)性
員工被“釣魚(yú)”是不同規(guī)模組織的一大風(fēng)險(xiǎn),因?yàn)閷?duì)手會(huì)用惡意郵件和網(wǎng)站對(duì)用戶實(shí)施攻擊。盡管89%的組織表示釣魚(yú)是他們最大的風(fēng)險(xiǎn)領(lǐng)域,但僅有48%表示具備足夠的可視性。
圖7 48%的組織對(duì)網(wǎng)絡(luò)釣魚(yú)具有充分可見(jiàn)性
若不能度量,便無(wú)法進(jìn)步
60%的組織有至少1/4的網(wǎng)絡(luò)設(shè)備未被統(tǒng)計(jì)。83%的組織能夠確認(rèn)其資產(chǎn)覆蓋率至少有50%,這大概可以知道企業(yè)的資產(chǎn)總數(shù),但是對(duì)于業(yè)務(wù)關(guān)鍵度和分類的覆蓋率缺很低。
這是一個(gè)重要問(wèn)題,因?yàn)闆](méi)有準(zhǔn)確和及時(shí)的清單,組織便無(wú)法改進(jìn)安全狀況。
圖8 組織資產(chǎn)管理的現(xiàn)狀調(diào)查
威脅響應(yīng)時(shí)間差異巨大
只有58%的人表示,一旦發(fā)現(xiàn)重大事件,他們可以在24小時(shí)內(nèi)確定組織內(nèi)的所有脆弱資產(chǎn)。超過(guò)40%的組織需要24小時(shí)甚至更長(zhǎng)的時(shí)間來(lái)識(shí)別易受攻擊的系統(tǒng),這使得他們幾乎不可能阻止快速傳播的勒索或惡意軟件的感染爆發(fā)。
圖9 不同組織的響應(yīng)時(shí)間
過(guò)高的訪問(wèn)特權(quán)
近五分之一的組織報(bào)告說(shuō),大多數(shù)或所有用戶的訪問(wèn)權(quán)限都超出了其工作所需的范圍??偟膩?lái)說(shuō),81%的組織提供的訪問(wèn)權(quán)限超出了用戶完成工作所需的權(quán)限。
圖10擁有過(guò)高權(quán)限用戶的組織
給董事會(huì)的網(wǎng)絡(luò)安全匯報(bào)通常是——“挺好的”
網(wǎng)絡(luò)安全管理者努力向董事會(huì)和高層傳達(dá)組織的安全態(tài)勢(shì)。當(dāng)被問(wèn)及他們最近一次關(guān)于網(wǎng)絡(luò)安全的董事會(huì)或高管匯報(bào)時(shí),大多數(shù)受訪者(52%)表示,他們進(jìn)行了很好的討論,表達(dá)了自己的觀點(diǎn),但結(jié)果并不如預(yù)期那樣。只有13%的人認(rèn)為匯報(bào)進(jìn)行得很順利,且董事會(huì)能夠理解安全狀況。
圖11被訪者如何向高層匯報(bào)
應(yīng)對(duì)安全態(tài)勢(shì)面臨的挑戰(zhàn)