亚太地区网络安全年中态势:威胁挑战与投资趋势

本报告基于对亚太地区89位网络安全专业人士的调查,深入分析了当前网络安全态势、主要威胁类型、非威胁性挑战及投资重点,为企业安全决策提供参考。

关于受访者

本节将探讨受访者的职位角色,以及他们所在公司的行业、地区和网络安全预算规模。

图1:哪个描述最符合您的职位角色?

图2:哪个行业垂直领域最能描述您所在的组织?

图3:贵组织整体IT预算中 dedicated 用于网络安全的百分比是多少?

第二部分:网络安全现状

图4:考虑到贵组织在2022年的网络安全方法,请评价您对以下陈述的同意或不同意程度:

关于亚太地区网络安全现状,受访者似乎普遍对公司的网络安全能力充满信心。

超过三分之一(39%)的受访者表示,与往年相比,他们的公司现在对威胁有了更好的理解。同样,超过五分之二(43%)的受访者表示,他们的组织高度重视网络安全,超过三分之一(36%)的受访者表示,在此期间,他们对网络安全合规性/培训的总体理解也有所提高。

瑞穗银行云与安全实践副总裁Arun Dhanaraj表示,该地区日益增长的数字化扩大了黑客的攻击面,由于网络安全知识和限制不足,导致网络犯罪分子瞄准该地区。网络犯罪事件的增加提高了去年对网络安全合规性/培训和当前威胁的认识,因为公司和员工必须更加警惕攻击。

43%的受访者提到,这种培训和教育也将提高对威胁的认识和可见性。

尽管可见性和教育有所提高,但超过四分之一(28%)的受访者表示,在过去12个月中,针对他们公司的网络攻击频率和数量有所增加。

瑞穗银行的Dhanaraj表示,公司可以通过在企业内部培养网络安全文化并投资关键安全控制来更好地防御此类网络攻击。

他解释说:"[创建网络安全文化]涉及频繁的培训、清晰的危险沟通和强有力的安全规则。先进的安全工具和技术也可以将网络安全融入企业文化,并提高威胁可见性。多因素认证、加密和入侵检测系统是企业最佳的网络安保措施。"

第三部分:网络安全威胁与挑战

图5:2022年贵公司经历的最严重的攻击类型是什么?

图6:您认为2023年影响最大的三大网络安全威胁是什么?

图7:作为网络安全从业者,您面临的前三大与网络安全威胁无关的挑战是什么?

主要网络安全威胁

当被问及网络攻击时,只有12%的受访者报告在过去12个月内没有经历过网络攻击。各地区出现的威胁向量范围广泛,但前三名是关键员工/角色 targeting、恶意云应用和恶意软件。

有许多与这些威胁向量相关的高调网络安全事件,其中最大的一次是Medibank数据泄露事件,导致970万客户数据被盗。

这些数据部分被发布在网上,企图勒索Medibank,是在一名黑客使用第三方IT服务提供商使用的被盗Medibank用户名和密码未经授权访问Medibank网络后被窃取的。黑客得逞得益于Medibank有一个配置错误的防火墙,该防火墙不需要额外的数字安全证书。

新加坡社会科学大学网络安全与治理研究员Anthony Lim表示,为了在网络攻击期间保护客户数据,管理者和网络安全专业人员需要确保基本的数据网络安全策略、解决方案和实践到位,包括:

  • 适当的密码和认证机制,包括使用双因素认证。
  • 在可行的情况下进行数据加密。
  • 数据防泄漏解决方案。
  • 网络分段和访问控制。
  • 最小权限和零信任原则。
  • 防火墙、防病毒或反恶意软件。
  • 监控和记录网络及数据移动活动。
  • 持续修补和更新软件应用程序、操作系统、中间件和其他软件。

展望未来,受访者认为对2023年影响最大的威胁是分布式拒绝服务(DDoS)攻击、恶意代码提交和关键员工/角色 targeting。

这些预测意义重大,因为在过去12个月内,亚太地区发生了与这些威胁相关的重大数据泄露和网络攻击。

2023年2月23日,亚太地区发生了一次破纪录的DDoS攻击。攻击流量的峰值达到每秒900.1GB。这次攻击被网络安全公司Akami记录并缓解,该公司的主要业务是内容交付网络(CDN),它指出这次攻击是针对其在亚太地区的一个客户发起的。攻击本身被描述为"激烈而短暂",900.1GB的峰值仅持续了一分钟,整个攻击持续时间不到五分钟。

非威胁相关挑战

与网络攻击无关的顶级网络安全挑战包括:难以将网络安全融入公司文化、缺乏全公司范围的网络安全培训/理解以及缺乏威胁可见性。

EC-Council全球服务网络安全执行总监Meisam Eslahi博士指出,维护全面的资产清单是网络安全的基础,因为这使网络安全团队能够识别和编目所有数字和物理资产,例如服务器、设备、软件、数据和应用程序。此清单是了解组织数字格局的关键,能够实现准确的风险评估和资源分配。

他解释说:“相应地,定期的攻击面发现有助于网络安全团队识别数字入口点以及人力和物理漏洞。通过映射攻击面,网络安全专业人员可以洞察对手可能针对的潜在薄弱环节。主动威胁建模使组织能够设计和实施适当的安全控制,最大限度地减少成功网络攻击的可能性。威胁建模确保安全措施与潜在风险保持一致,有助于有效地确定资源优先级,并最终增强整体安全状况。”

Eslahi博士还分享说,网络安全团队可以使用威胁建模、资产清单和攻击面发现来全面了解其组织的安全状况。这与定期培训相结合,有助于在团队内培养持续改进的文化,帮助他们跟上安全最佳实践和新兴网络攻击技术的步伐。

在提高网络安全意识和文化方面,Eslahi博士建议公司实施安全意识培训、量身定制的培训计划、游戏化和模拟。

他分享道:“为了改善整个组织的网络安全文化,必须通过自上而下的方法来促进和实施变革,在这种方法中,C级高管和其他公司领导成员积极支持并参与网络安全计划。强烈建议纳入知识共享会议和网络演练,以让高层管理人员积极参与网络安全工作,并促进将网络安全融入公司文化。”

第四部分:网络安全投资与机遇

图9:您对以下陈述的同意程度如何:‘我们在过去12个月内与网络安全相关的预算增加了’?

图10:您/您的组织在2023年的网络安全支出是否会比2022年多?

图11:您/您的企业目前正在投资哪些网络安全控制措施?

图12:2023年网络安全投资的三大重点是什么?

在网络安全投资方面,无疑正在增加。当被问及他们在2023年的网络安全支出是否会增加时,64%的受访者表示他们将"略微"或"显著"增加支出(图10)。这与36%的网络安全受访者表示其预算在过去12个月内有所增加的情况一致(图9)。

用于网络安全投资的总体预算范围往往占公司整体IT预算的6-20%(图4),其中28%的受访者报告预算分配为6-10%,24%的受访者报告预算分配为11-20%。

当被问及目前正在投资什么时,网络安全专业人士表示,他们的公司正在投资电子邮件安全、访问管理工具和端点安全。考虑到2022年的主要威胁(图6)是关键员工/角色 targeting、恶意云应用和恶意软件,而预测的2023年威胁(图7)围绕DDoS攻击、恶意代码提交和关键员工/角色 targeting,这些投资选择是有道理的。公司正试图通过增加这些攻击所针对的安全控制来保护自己免受这些威胁向量的侵害。

EC Council的Eslahi指出,强烈建议投资于主动控制,因为这些控制措施侧重于在早期阶段检测恶意活动并防止漏洞被利用。

他解释说:“安全配置和主动漏洞管理至关重要。安全配置通过自动化工具辅助的最佳实践来防止漏洞。主动漏洞管理及时识别和解决弱点,降低成功攻击的风险。”

在具体投资方面,网络安全专业人士表示,他们的公司将在2023年投资于云安全、安全数据管理以及员工安全意识与培训(图12)。

这些投资选择与报告中前面提到的威胁预测和一般网络安全困难相吻合。如果DDoS攻击、恶意云提交和关键员工或角色 targeting 将成为公司面临的主要威胁向量,那么投资于提高云和数据保护及安全性的工具是明智的。

此外,投资于帮助员工整体理解、检测、响应和缓解威胁的工具,将对网络安全团队和整个公司整体有益。所有这些投资都将有助于防止网络攻击,同时也有助于保护关键数据,并在发生网络安全事件时帮助企业保持正常运营。

最终评论:

亚太地区的网络安全专业人士面临着独特的挑战。这些挑战既包括基于威胁的障碍,也包括他们在网络攻击之外的日常角色中面临的挑战。

在亚太地区网络安全专业人士必须面对的基于威胁的障碍中,三个最突出的威胁向量是DDoS攻击、恶意代码提交和关键员工/角色 targeting。网络安全专业人士可以通过鼓励投资于能够提供针对这些威胁向量保护的网络安全工具(如电子邮件安全、访问管理工具和端点安全)来帮助防范这些威胁。

其他挑战包括非威胁相关问题,包括难以将网络安全融入公司文化、缺乏全公司范围的网络安全培训/理解以及缺乏威胁可见性。

为了缓解这些问题,C级高管和其他公司领导必须推广和实施网络安全计划。通过纳入知识共享会议和网络演练,高层管理人员可以积极参与网络安全工作,并促进将网络安全融入公司文化。

通过这样做,网络安全专业人士可以保护他们的公司免受特定于其地区的威胁,同时也可以应对影响网络安全整体的与角色相关的挑战。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次