最近幾年，各大企業組織的安全團隊都比較難熬。Petya 和 NotPetya 這種大規模攻擊讓安全從業人員疲于應付，也表明網絡安全事件的影響范圍在急劇擴大。最近幾個月，美國政府開發的惡意程序及搜集的漏洞資料被泄露（主要是維基解密所披露的一系列 CIA 工具文檔），也讓網絡犯罪團伙有了更多的利用工具。IT 行業不得不苦苦掙扎，及時關注安全信息、為系統或軟件打上重要的安全修復補丁并及時更新，以求得企業正常運轉。同時，IoT 等新技術的出現也帶來了新的安全問題。

CSO 的一份新調查表明，網絡安全問題引起了美國很多公司的重視，他們開始關注并尋求解決網絡安全問題的方法。這份調查結果不僅揭示了美國各大企業所面臨網絡威脅的性質和規模，還明確說明了這些企業給出的應對措施。

CSO 與美國特工處及卡內基梅隆大學軟件工程學院的的網絡應急響應小組合作，一起展開調查并產出了網絡犯罪報告。本年度的報告還受到了 Forcepoint 的贊助。

以下是報告的關鍵信息：

在 510 個受訪對象中，有 70% 是所有行業和公共領域的副總級別甚至更高級別的高管，其中 35% 是企業管理者。 41% 的受訪對象公司規模大于 500 人，另外 59% 的受訪對象來自 500 人以下的公司。

　　受訪對象信息

這些公司的平均 IT 安全預算為 1100 萬美元，而平均職工數為 9795 人。

平均 IT 預算與平均職工數目

企業對待安全越來越認真

企業以及其他組織對待安全的態度越來越認真，有時候安全問題所使用的公司資源甚至是在增加的。有 20% 的首席安全官（CSO）和 CISO（首席信息安全官）每月會向董事會匯報公司安全情況，而在上一年（2016 年），這個比例只有 17% 。然而，仍然有 61% 的董事會認為安全問題只是 IT 問題，并非是企業管理的問題。不過這個比例與上一年的 63% 相比，還是有所下降的。

　　網絡安全問題只是 IT 問題？

　　CSO及CISO 向董事會匯報的頻率增加

各公司在 IT 安全方面的花費逐漸增加，平均預算增加了 7.5%。其中 10% 的受訪對象表示自己所在公司的 IT 安全預算增加了 20%。有 40% 的公司將預算集中于開發或引進新技術。除安全技術外，很多公司將預算花費在知識性技能上：有34% 的公司將預算集中于審計、評估；33% 的公司將預算集中于提升新安全能力；25% 的公司將預算集中于探究并重新設計公司的網絡安全策略；17% 的公司將預算集中于重新設計安全流程；15% 的公司將預算集中于情報分享（以上數據有所交叉）。

　　保持技術更新是解決新出現威脅的關鍵

有 35% 的受訪對象表示，公司尚未將網絡響應計劃納入網絡安全策略。好消息是，19% 的受訪者表示將會在明年采納并實施網絡響應計劃。

企業不斷提升對網絡威脅的重視程度并提高預算，這讓他們對公司的安全能力更有信心，就算他們使用移動技術、云以及 IoT 等風險較大的技術或產品，也不太擔心。76% 的受訪對象表示自己有專業能力解決相關的安全問題。但同時，也有 74% 的受訪對象對安全問題更加擔心了，這與 2016 年的 64% 的比例相比，有了大幅增加。

很多企業認為自己有能力解決新技術帶來的安全問題

　　對網絡安全事件的擔憂大幅增加

安全事件有所減少，但帶來的影響并未減弱

受訪對象預計，公司遭遇的安全事件從去年的 161 起下降到 148 起，總比下降 8.2%。然而，盡管安全事件的數量有所下降，但造成的損失卻不小。有 68% 的受訪者表示公司安全事件帶來的損失與去年相比幾乎相同甚至更高。沒有因為安全事件遭受損失的企業從去年的 36% 減少到 30%。這種情況著實引人警醒。

　　安全事件數量有所減少

調查結果顯示，盡管安全事件的整體數量有所下降，但造成的損失卻有所增加。過去一年中，有 14% 的受訪對象表示公司核心系統遭到破壞，與之前 10% 的比例相比上升不少。10% 的企業表示機密或財產信息都蒙受損失，而之前這一比例只有 7%。同時，損壞公司名譽或影響客戶和合伙人的安全事件都減少到了 4% 。

網絡攻擊類型及企業中招狀況

盡管安全事件的整體數量下降了，但釣魚和勒索軟件攻擊的數量以及遭受損失的公司數量都有所上升。

如果你一直關注網絡攻擊報告，就會發現網絡攻擊的種類其實在不斷增加。36% 的受訪對象表示曾遭受過釣魚攻擊，與上一年相比增加了 10%。勒索軟件攻擊也從 14% 增加到了 17%。財務詐騙從 7% 增加到了 12%。

關鍵內容：

《2017 網絡犯罪現狀報告》結果表明，大多數公司都加大了打擊網絡犯罪的力度并盡力減少損失。同時，很多公司的防御狀況都落后于網絡威脅環境現狀或同行中優秀成員的網絡安全現狀。他們只有注重以下幾個方面，盡力追趕，才有可能迎頭趕上：

1. 認識到安全問題并不僅僅是 IT 問題。更多的 CSO 和 CISO 開始向董事會匯報安全狀況，因為從高層開始實施的有效的網絡安全策略應當覆蓋全公司各個領域。更多地向高級管理層和涵蓋公司各領域成員的風險委員會匯報安全問題也是一個好的開始。

2.向公司的安全團隊成員投資。這可以確保安全團隊成員可以獲得資源和培訓，及時了解最新的安全威脅。讓他們加入分享威脅情報及應對措施的組織也很重要。

3. 加深對網絡威脅的深度視野。39% 的受訪對象認為外部威脅帶來的損失最嚴重。一旦發生外部入侵，平均需要 92 天的時間才能檢測到。因此，評估所使用的入侵檢測工具和進程就很有用。

　　2015年起，入侵檢測所需時間不斷增加

4. 持續培訓員工的安全意識并不斷更新。來自公司內部的的安全事件有 28% 是由于無心之失。由于詐騙類攻擊的比例不斷上升，公司有必要對員工進行定期安全意識培訓，并且要緊跟威脅現狀。

　　導致企業內部遭受攻擊的原因

5. 評估公司供應鏈以及合伙人的網絡安全能力。網絡犯罪的通常都從較小的公司下手，進而獲取其合作對象中大公司的數據。因為在攻擊者眼中，小公司通常都比較容易入侵。因此，大公司需要確保自己供應鏈中的各個環節都不要出錯或暴露弱點。

6. 測試、測試，再測試！報告顯示，只有 53% 的受訪對象表示公司有測試安全項目的合理方法。測試是必不可少的，而且不能僅僅一年才測一次。網絡威脅當前的發展要求公司必須定期進行常規的安全測試。

最終結論：

1. 企業組織的安全策略依賴于許多威脅情報共享組織，但目前仍然很難實現全面的威脅情報共享；

2. 董事會在企業安全中起到重要作用，不過背后原因各不相同；

3. 盡管企業在 IT 方面的預算不斷增加，且的確成功讓安全事件數量有所減少，但安全事件造成的損失并未減少；

4. 成功的釣魚和勒索軟件攻擊數量有所增長；且總體而言，網絡威脅變得更難檢測；

5. 2017 年針對網絡威脅的擔憂大幅上升；

6. 外部攻擊仍被視為最大的威脅；有針對性的攻擊越來越普遍。同時，公司內部的員工也會因為釣魚詐騙和無心之失引起安全事故，這需要公司加強對員工的安全培訓；

7. 企業的數字業務鏈中仍然存在嚴重漏洞；

8. 盡管企業能搜集到很多數據，但很難識別這些數據的實質；而且只有略微過半的企業會去檢測自己安全措施的成果；

9. 大多數企業對內部員工造成的安全事件保持沉默，并不會訴諸法律；

10. 記錄與監管以及加密技術仍然是企業眼中解決網絡安全問題的有效手段。

了解更多報告詳情，請戳這里。

*參考來源：CSO，AngelaY 編譯整理，轉載請注明來自 FreeBuf.COM