相比之下,在安全專家中,只有29%的人表示他們對勒索軟件攻擊做了非常充分的準備——這表明在準備程度上存在顯著差距(29%),凸顯了采取更強大安全措施的必要性。
安全領導者對暴露管理的深刻理解
網絡安全需要采取一種更先進、更靈活的方法,這種方法要考慮到業務風險與回報之間的權衡,而不僅僅是單純關注絕對保護。在復雜的環境中,暴露管理為管理和減輕風險提供了更有效的解決方案。
Ivanti的研究顯示,暴露管理的概念已被很好地理解;例如,49%的安全專家表示,他們公司的領導者對暴露管理有很高的理解水平,然而,各企業并沒有采取措施來實踐這一概念;只有22%的企業表示他們將在2025年增加對暴露管理的投資。
在打破數據和企業壁壘方面,大多數企業仍按部就班。88%的安全專家報告稱存在顯著的數據盲點——即缺乏足夠數據來做出明智安全決策的領域——如影子IT、補丁合規性、供應商風險管理信息和依賴映射。
44%的安全專家表示,由于安全/IT關系緊張,他們難以管理安全風險。40%的人表示,IT和安全團隊使用不同的工具來完成相同的活動。
52%的安全專家將API和軟件漏洞評為高危至嚴重威脅,但許多企業對這些風險缺乏可見性。
Ivanti的首席安全官Daniel Spicer表示:“企業領導者現在必須習慣考慮網絡風險對更廣泛業務風險的影響。暴露管理是一種工具,可幫助企業評估一系列目標(包括業務目標)中的漏洞和風險,從而有意平衡安全與運營之間的關系。然而,為了成功實施暴露管理,企業應確保安全部門與其他部門之間的協作,進行與企業風險偏好相一致的風險評估,并優先減輕最具影響力的漏洞。”
解決技術債務問題
盡管83%的安全團隊聲稱他們有記錄風險容忍度的框架,但其中51%的人表示,他們當前的框架沒有得到密切遵循,這使其幾乎與不存在框架一樣無效。
在安全和領導層專家中,三分之一的人表示,技術債務是一個嚴重的問題,它損害了安全態勢,阻礙了增長和創新。
例如,37%的人表示他們無法維持基本的安全實踐,43%的人表示由于累積的技術債務,他們的系統更容易受到安全漏洞的侵害。在那些認為技術債務在其企業內是“極其嚴重”問題的人中,71%的人報告稱增長放緩,43%的人表示技術債務減緩了創新。
企業越來越希望他們的CISO提供戰略業務建議,包括關于AI采用和管理供應鏈風險的指導。董事會也越來越參與其中。
研究表明,網絡安全已經是董事會層面的話題。89%的人表示,網絡風險在董事會層面進行了討論,88%的人表示CISO被邀請參加關于業務決策、企業規劃等的高級戰略會議。
然而,許多CISO仍然主要關注停機風險,而沒有看到更大的局面。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號