2023網絡安全成熟度報告：弱密碼依舊排名第一

　　全球數字化給企業帶來一個直觀的安全風險是攻擊面正在持續擴大。根據CrowdStrike Falcon Surface公開的數據顯示，企業云環境中暴露的資產中有30%存在嚴重漏洞，針對企業的勒索攻擊、APT攻擊、數據泄露等安全事件越來越多，網絡攻擊方式也趨向復雜化、利益化。

　　與之相對應的是，企業安全團隊必須防御更多的漏洞，更多的威脅，以及未來指數級增長的網絡攻擊復雜性和資源投入的限制性。

　　而日益嚴峻的網絡攻擊也讓引入市場的網絡安全解決方案的數量，企業安全預算顯著增加。在同一時期，脆弱性也急劇增加，由此導致的安全漏洞激增導致了巨大的商業損失，包括前所未有的財務和聲譽損失，突出了組織轉變網絡安全方法的必要性。

　　在2023網絡安全成熟度報告，強調了哪些行業和國家擁有最強大的網絡態勢，哪些是滯后的，以及最普遍的漏洞；并且還研究了不同行業、國家和公司規模的得分，并就如何實現更好的網絡姿態提供建議和最佳實踐。

　　一、總體情況

　　該報告收集的數據超過2年，共150個國家、幾十個行業，在七個不同的安全領域對組織進行評估。這些領域構成了一個整體的網絡安全戰略。在保護組織內部的關鍵資產方面，每個領域都扮演著不同的角色。

　　注：七個領域分別是數據安全；政策、程序和治理；IAM；監控和事件響應；網絡安全；端點安全；應用程序安全性。

　　主要結果如下圖所示：

 

　　金融領域不斷上升的網絡攻擊數量對金融穩定構成威脅，并使網絡風險成為政策制定者關注的重點。除此之外，合規和對財務損失的擔憂促使許多公司實施網絡安全措施，這些都是銀行和金融科技得分較高的原因。

　　零售業和公共行業的平均得分較低。其中的原因，大概是實體店&網店的企業不認為網絡安全是優先事項，此外對服務的速度要求超過網絡安全。公共部門依賴其客戶，沒有其他選擇，因此沒有優先考慮安全問題；此外，他們可能很難吸引到合格的安全專業人員。

　　中小企業/組織獲得了最高的網絡安全成熟度得分。中型組織更重視網絡安全，并將它作為優先事項，往往會投入更多的資源在網絡安全解決方案。小企業/型組織攻擊面更小，只需由一個小的安全團隊即可成功地管理。而非常大的組織成熟度低的原因是，難以防御如此龐大的攻擊面。

　　盡管美國、英國和德國在網絡安全支出方面有慷慨的預算，但它們得分并沒有最高，這說明大量的金融投資并不總是轉化為高成熟度水平。成熟度較低的具體原因，可能是缺乏適當的網絡安全風險量化和成熟度戰略規劃。反之，即使沒有龐大的網絡安全預算，只要合理規劃和支出，企業也可以實現卓越的成熟度。

　　挪威在大多數領域中得分最高。挪威于2003年制定了第一個國家網絡安全戰略，使挪威成為全球在這一特定領域制定國家戰略的首批國家之一。隨著網絡攻擊威脅的發展，又在2007年和2012年修訂了國家戰略，這也是其得分較高的原因。

　　墨西哥公司得分最低。墨西哥沒有國家網絡安全計劃，鼓勵私營部門獨立引入自我監管計劃，試圖防范網絡攻擊。此外，根據一些研究，墨西哥被列為拉丁美洲國家，大多數公共和私營部門成為網絡攻擊的目標。

　　以下是各行業和國家成熟度曲線分布圖：

　　二、應用安全

　　應用安全指的是應用級的安全措施，旨在防止應用中的數據、代碼被黑客獲取、劫持。其中涉及應用開發、設計階段的安全考量，以及在應用部署后對其進行保護的產品和措施。簡單來說，應用安全是應用在開發流程中加入、測試安全功能的過程，防止應用出現安全漏洞和風險。

　　各個國家在應用安全維度的得分如下：

　　各行業得分如下：

　　最常見的五大問題如下：

　　金融企業得分最高，這點符合大家的認知。金融企業應用常為客戶提供交易服務，因此安全防護水平一直保持在較高水準。金融企業獲取的一般都是高敏感數據，并與用戶銀行賬號存在關聯，倘若這些數據出現泄露的問題，那么將會給企業帶來嚴重打擊。

　　零售公司得分最低，只有可憐的1.45。這是因為最近幾年，特別是三年疫情期間，零售行業正在快速增長，而在網絡安全上卻沒有投入足夠多的資源和人力，導致其整體應用安全狀態處于較低的地位。尷尬的是，零售行業因數字化而增長，卻也因數字化成為網絡攻擊的重點目標，由此給行業帶來嚴峻的網絡攻擊安全風險。

　　技術信息泄露和SQL漏洞依舊是應用安全領域最為常見的威脅，事實上，關于SQL漏洞利用，黑客們已經有了非常成熟的方法，并在給應用安全領域持續帶來傷害。

　　值得一提的是，許多歐洲國家在這一領域的得分較低，這似乎和大家的認知有所不同，畢竟GDPR以嚴厲著稱，且已經施行的不短的時間。

　　三、IT安全治理

　　IT安全治理是企業/組織用來確保IT系統安全的措施。IT安全治理為企業系統提供監督，確保安全風險得到充分緩解，其安全策略往往和業務目標高度一致，同時確保企業/組織符合相應的法律法規。

　　國家得分和概率最高的風險點TOP5如下所示：

　　安全風險和成熟度之間存在著巨大的相關性。當一個組織在其網絡安全實踐中具有高水平的成熟度，那么就有能力識別和減少系統中潛在的安全風險，使得系統在長時間內保持較低的安全風險等級。

　　如上圖所示，IT安全治理風險點top5都是我們所熟知的方向，其中一些問題甚至在20年前就已經存在。例如"全局安全更新策略不足"就會導致漏洞反復出現，并為攻擊者提供了一個低門檻攻擊途徑，即便如此，依舊有不少組織會忽視更新安全策略。

　　國家方面，得分最高的是德國，反映了一種自上而下的IT安全治理方法，而東南亞地區在該領域得分較低，其中的原因或許是該地區網絡安全法規、監管體系不太成熟。

　　高風險維護程序漏洞（權限管理）是所有企業/組織共同面臨的風險，因為權限管理是IT安全治理的重要一環，是強化網絡安全必不可少的途徑。

　　四、身份管理

　　身份與訪問管理也稱為身份管理，是指用于管理數字身份的IT安全規程、框架和解決方案。身份管理包括身份的提供與注銷、保護、驗證，以及訪問資源、執行某些操作的授權等。雖然一個人只有一個數字身份，但他們可能有許多不同的賬戶。每個賬戶可以具有不同的訪問控制。身份管理的首要目標是確保任何給定的身份都可以訪問正確的資源。

　　國家和行業得分如下所示：

　　身份管理最常見的風險點top5如下所示：

　　身份管理是攻擊者在網絡攻擊中最常利用的方向，但是它也給企業/組織提供了一個快速改進的機會。能源和科技作為新興的行業，因而以一種十分顯著的方式迅速提高了成熟度。

　　和之前的調查結果一樣，身份管理最常見的風險點top5是當下企業中十分常見的場景。令人驚訝的是，弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗證機制的組合讓黑客入侵更加便捷，或者說這樣的攻擊并不需要黑客技術，攻擊者只需要登錄即可。而當訪問權限“允許訪問包含敏感信息”時，黑客可以毫不費力氣地訪問敏感數據。

　　能源企業/組織在該領域內得分最高，這是因為石油、天然氣等企業一般是國家的關鍵基礎設施，隨著關鍵基礎設施成為敵對國家的重點攻擊目標，能源企業只能拼命提高安全成熟度。

　　阿拉伯聯合酋長國僅僅獲得1分，原因是缺乏對這個問題的認知和重視。美國、英國和澳大利亞早在1998年就制定了打擊身份盜竊的法律和政策，而阿聯酋幾年前才開始研究這個問題。直到2012年，阿聯酋才制定了《網絡犯罪法》，該法律仍然沒有具體解決身份盜竊和IAM問題。

　　五、網絡安全

　　網絡安全保護企業網絡和數據免受破壞、入侵和其他威脅。這是一個龐大的、概括性的術語，它描述了硬件和軟件解決方案，以及與網絡使用、可訪問性和整體威脅防護相關的流程或規則和配置。網絡安全涉及訪問控制、病毒和防病毒軟件、應用程序安全、網絡分析、網絡相關安全類型(端點、Web、無線)、防火墻、VPN加密等。

　　國家和行業得分如下所示：

　　網絡安全風險點top5：

　　令人驚訝的是科技公司在這一領域表現不佳。雖然他們雇用精通技術的人員，但這些員工往往回避處理和維護網絡級別的安全問題，因為里面涉及到一些低級的、平淡無奇的工作。技術人員更傾向于實現發展目標，從而使網絡安全的總體狀況缺乏。這一責任往往落在經驗較少的人員身上，從而給行業帶來不佳的評分。另一個因素是，這是一個跨組織的長期努力，人們傾向于專注于他們特定的團隊和子網絡，以便更快地完成工作，而不是通過跨組織的總體努力來獲得最好的結果。

　　國家方面，墨西哥得分最低。“墨西哥金融系統中的網絡安全狀況”報告分析了墨西哥金融部門的網絡安全，只有33%的公司使用加密控制和端點安全工具，只有54%的公司使用網絡安全工具（VPN、NAC、ISE、IDS/PS、網絡通信、安全電子郵件等）。

　　服務業得分遙遙領先，盡管在網絡安全方面，它并不是人們所期望的領導者。主要原因可能是客戶正在推動供應商應用高級別的安全措施，并把它作為開展業務的先決條件。這一領域的主要發現強調了2019冠狀病毒病的影響，為了允許遠程工作新冠肺炎迫使許多環境變得面向互聯網。

　　六、安全運營中心（SOC）

　　安全運營中心(SOC)是一個容納信息安全團隊的設施，該團隊負責持續監控和分析組織的安全態勢。SOC團隊的目標是使用技術解決方案和一套強大的流程組合來分析、檢測和響應網絡安全事件。安全運營中心通常配備安全分析師和工程師，以及監督安全運營的管理人員。SOC工作人員與組織的事件響應團隊密切合作，以確保安全問題一經發現即迅速得到解決。安全運營中心監控和分析網絡、服務器端點、數據庫、應用程序、網站和其他系統上的活動，尋找可能表明安全事件或安全漏洞的異常活動。SOC負責確保正確識別、分析、防御、調查和報告潛在的安全事件。

　　國家和行業得分如下所示：

　　安全運營中心風險點top5：

　　安全行動監測和事件反應往往不能迅速改進，因為它需要一段時間的戰略投資，它的改進必須來自于技術、人員和過程的結合。金融行業依舊是該領域的領導者，因為它們歷來投資于縮短響應時間，控制網絡事件，并最終減少資金損失。隨著網絡安全法規的健全，其他行業和金融行業的差距將會縮小。

　　國家方面，克羅地亞排名第一。2020年，美國在薩格勒布建立了一個新的網絡安全運營中心和一個移動網絡事件響應小組。在2022年，美國網絡司令部歷史上第一次部署了一支精英防御網絡運營商團隊到克羅地亞，以尋找合作伙伴網絡上的惡意網絡活動。這一努力是在中歐和東歐國家高度警惕與俄羅斯和烏克蘭之間的戰爭有關的網絡攻擊的時候進行的。這些或許是克羅地亞在領域得分高的主要原因。

　　值得一提的是，監控其實是第二道防線，但組織錯誤地將其視為第一道防線。這方面零售行業表示十分明顯，組織應該警惕被動的網絡安全策略，并優先考慮在監控之前適當投資于保護性策略和技術。

　　七、敏感數據管理

　　敏感數據是個人或組織不希望公開的信息，例如個人的信用卡信息或醫療記錄，一旦被公開往往給企業和用戶帶來危害。當企業尋求保護敏感信息時，他們需要持續了解其復雜的生態系統。隨著數字化轉型戰略的加速，網絡安全和隱私變得更加重要，實時了解新風險，以快速緩解威脅，并保護敏感數據對企業來說將變得更加重要。

　　國家和行業得分如下：

　　敏感數據管理風險點top5：

　　令人驚訝的是，作為對個人信息最敏感的行業之一，醫療保健竟然排名最低。這表明該行業對個人信息問題的認識嚴重不足，即使在我們委托提供最敏感信息的組織中也是如此。“沒有從文件共享中刪除敏感數據”是最常見的漏洞之一，表明文件共享是整個域中的薄弱環節。

　　國家方面，許多必須遵守GDPR法規的歐洲國家仍然沒有達到應有的網絡安全水平。但值得一提的是，與其他領域相比，敏感數據管理的成熟度得分相對較高。這主要得益于法規(GDPR、CISA)方面的約束，這些法規將數據安全視為所有網絡安全要求的基礎。

　　八、端點安全

　　端點安全是指為解決網絡端點所面臨的威脅而采取的安全措施，網絡端點是指服務器、工作站、筆記本電腦和移動設備等設備。

　　國家和行業得分如下：

　　端點安全風險點top5：

　　調查數據顯示，過時的技術是影響企業/組織整體網絡安全水平的一個重大挑戰。從上圖中可以看到，中小企業在該領域的得分最高，這是因為在端點安全中有著諸多嚴格的規則，和大型企業相比，中小企業更容易執行這些規則。

　　國家方面，挪威獲得了最高分，因為它增加了數字防御支出，以保護該國的關鍵IT基礎設施免受來自敵對國家網絡攻擊的風險。尤其是在俄烏戰爭中，挪威對烏克蘭進行軍事和貿易支持，導致其面臨的網絡安全威脅上升，進一步增加了在該領域的投入。

　　九、總結

　　本報告介紹了CYE對網絡安全趨勢和最佳實踐的分析結果。基于對可用數據的審查，得出以下可增強任何組織內系統和數據安全性的建議：

　　(1)投資于能力而不是工具。企業/組織往往熱衷于投資工具，這會帶來更大的攻擊面，而不是更多的能力，尋找一家供應商，通過將技術、人員和流程相結合，以管理組織風險并使組織能夠重新控制其網絡彈性，從而用功能取代工具。

　　(2)制定網絡安全董事會級別問責制。董事會必須參與公司網絡網安的決策，這是管理層了解風險和保護公司所需的財務投資水平的唯一方法。

　　(3)全面評估安全態勢，量化企業安全風險，并根據數據優先考慮緩解措施。為了正確地優先考慮緩解和分配資源，組織需要了解自身風險。通過識別來自所有攻擊面的威脅，評估哪些漏洞和發現與企業/組織密切相關，以及漏洞、威脅對企業關鍵業務資產的威脅度，從而實現網絡風險量化。考慮關鍵資產的財務背景，并使用統計數據來估計這些資產遭到破壞的可能性。圍繞這些數據規劃緩解措施，同時投資于解決根本原因問題的全面解決方案。