技术行业攻防安全趋势:Ponemon 2023年深度解析

本文基于Ponemon研究所报告,深入分析2023年技术软件行业在攻击面管理、漏洞优先级技术和零日响应方面的安全实践,揭示行业如何通过创新工具和策略应对不断演变的网络威胁。

技术行业攻防安全趋势:Ponemon 2023年深度解析

技术软件行业处于全球数字革命的前沿。作为数字进步的守护者,该行业在塑造互联世界中扮演关键角色。然而,创新伴随着缓解网络风险的责任,这对技术行业来说尤为突出。2023年IBM数据泄露成本报告将技术行业列为17个行业部门中第六昂贵的行业,每次事件平均导致受影响组织损失466万美元。

在本博客中,我们分享技术软件行业领先的攻防安全趋势亮点。基于Tech Ponemon报告,这项分析包括来自113名技术软件公司参与者的见解,占总样本的17%。

行业细分有两个目的:

  • 为技术软件公司的安全领导者提供宝贵见解,了解同行和竞争对手如何应对攻防安全
  • 强调必须整合到安全策略中的关键组件,以有效防御不断演变的网络安全威胁

工具采用

Ponemon报告数据显示,技术软件公司往往比其他调查行业拥有更先进的安全方法。这导致他们在攻防安全工具使用上存在显著差异。他们更强调漏洞和攻击模拟工具(43% vs 37%),以及动态应用安全测试(38% vs 35%)。这与当前扩大攻击覆盖范围的趋势相一致。

此外,技术行业重视漏洞分类,比跨行业平均水平更频繁地采用漏洞优先级技术(34% vs 31%),同时略微减少使用漏洞扫描器(46% vs 50%)。这种偏好可能是由于技术软件组织采用更战略性和有针对性的网络安全方法。漏洞扫描器通常提供潜在安全暴露的广泛概述,但不包含分析暴露严重性和优先修复的方法。然而,漏洞优先级技术使公司能够专注于手头最关键的威胁,从而为具有最高业务影响的暴露制定快速缓解策略。这种战略方法反映了技术行业的敏捷性和适应性。

在这个不断发展的行业中,组织不断创新和完善其网络安全策略,以保持领先于新兴威胁。这导致了对漏洞管理的更有针对性的方法。

图1 - 您的组织使用哪些安全工具来发现暴露和/或促进攻防安全测试?

攻防安全测试背后的动机

技术软件公司在攻防安全测试方面表现出与其他行业不同的模式。虽然基本测试类型在各行业保持一致,但这些评估背后的驱动因素出现了有趣的变化。

采用尖端技术的追求是一个主要动机,49%的受访者强调其重要性,超过了所有行业观察到的44%平均水平。这种强调与该行业部署创新技术的重点相一致,导致扩展的攻击面成为一个更突出的因素(35%),相比跨行业平均水平(29%)。同样,云迁移,所有行业安全测试的常见优先事项(41%),对技术软件公司来说具有额外重要性,达到45%。

相反,网络保险保费在技术行业内激励攻防安全测试的作用较小,比率为29%,而行业平均水平为33%。这表明技术行业的深厚技术专长和持续创新周期有助于加强风险缓解,减少对外部保险作为安全网的依赖。

此外,技术行业较少强调执行监督(17% vs 21%)作为攻防安全测试的驱动因素,强调了对自身网络安全措施和专长的强大内部信任。这种减少对外部验证的依赖标志着该行业对网络安全的战略性和主动性方法,最小化了开发强化安全措施的外部监督需求。

图2 - 以下哪些用例在过去18个月内推动了您组织的攻防安全测试?

实现安全目标

优先考虑零日响应能力是技术软件公司攻防安全测试的主要目标,显著强调47%,超过了跨行业平均水平的42%。这种提高的优先级强调了该行业快速集成新技术及伴随风险的能力。新兴技术以隐藏未发现漏洞而闻名,使零日响应策略对于维护安全和韧性至关重要。

其次,验证防御控制和技术对技术公司的重要性显著更高,为44%,远远超过跨行业平均水平的32%。这种强调与技术行业持续创新、推动边界和部署多样化技术的文化相一致,需要持续验证和测试,以确保防御系统对抗广泛潜在网络威胁的有效性。

与所有行业并行,遵守合规和监管要求仍然是首要优先事项,强调了法律和社会责任在维护安全数字生态系统中的普遍重要性。

图3 - 您试图通过攻防安全测试实现以下哪些目标或目的?

应对顶级网络威胁

技术软件公司将社会工程(44%)、内部威胁(41%)和勒索软件(40%)列为其三大网络威胁。这与整体行业平均水平密切一致,其中勒索软件(41%)、社会工程(40%)和云漏洞(39%)主导前三威胁。

然而,一个显著偏差出现,技术软件公司对分布式拒绝服务(DDoS)攻击表示更多关注,超过跨部门平均水平(39% vs 33%)。这可以归因于针对技术行业的大量DDoS攻击。F5的分析显示,2022年针对技术行业的DDoS攻击占所有DDoS攻击的35%,使其成为顶级目标行业。这种特定行业的针对性强调了在面对不断演变的网络威胁时需要提高警惕和定制防御策略。

图4 - 哪些类型的网络威胁正在推动您的攻防安全投资?

结论

技术软件行业的攻防安全蓝图分析显示,该行业处于安全实践的前沿,对攻防安全有着坚定承诺。为了保持其在安全领域的领导地位,技术软件公司必须继续适应和创新其攻防安全策略,以应对新兴威胁。考虑到其不断扩展的攻击面及其应用程序的全球覆盖范围——通常集成在企业网络和系统中,这一点尤为重要。通过保持领先,这些公司可以保护其技术,向第三方供应商和/或客户提供安全支持的保证,并保持其在行业中的优势。

要了解其他行业如何利用攻防安全实践,请下载Ponemon研究所的2023年攻防安全状况报告。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次