2022年网络安全现状

网络安全从业人员在2022年初面临着Log4Shell漏洞的阴影。该漏洞给网络安全世界带来了冲击波，并持续被威胁行为者利用。

进入2022年仅几个月，美国网络安全和基础设施安全局（CISA）和英国国家网络安全中心（NCSC）等政府组织就发表声明，呼吁各组织特别是关键基础设施领域的组织，因俄罗斯入侵乌克兰后网络威胁加剧而加强网络安全工作。

这些挑战，加上威胁行为者策略的持续演变、远程工作趋势以及网络安全领域持续的技能短缺，使得CISO的角色在全球各组织中成为焦点。

当前网络安全状况

在本次网络安全中心2022年年中市场报告中，我们向网络安全从业人员网络询问了行业当前趋势、他们今天的首要投资重点以及他们认为组织面临的最大威胁。

当被问及过去12个月组织对网络安全的方法时，2022年网络安全中心年中调查结果显示，30%的受访者表示其组织高度优先考虑网络安全。

鉴于上述挑战不仅出现在专业渠道，也出现在主流媒体头条，大多数组织将网络安全视为重中之重并不令人惊讶，正如我们将在后续章节中看到的，他们正在为其网络工作投入更多资源。

一位选择匿名的调查受访者评论说：“不断演变的威胁速度正在超过[网络安全从业人员]"。

这份独家网络安全中心报告旨在让网络安全专业人员了解当今的威胁，并强调CISO正在分配安全预算以减轻其组织面临风险的领域。

当今威胁形势

图1：您的组织今天面临的最危险的三种网络安全威胁是什么？

在当今的数字世界中，组织的网络比以往任何时候都更加分散，特别是自2020年初 Covid-19爆发以来，远程工作的人数急剧增加。威胁行为者将利用任何漏洞来破坏组织的网络、泄露数据并摧毁系统。

我们还阅读：CISO威胁预防策略

我们询问调查受访者，他们的公司今天面临的最危险的三种威胁是什么，出现的三个领先者是：网络钓鱼/社会工程攻击，占受访者的75%；36%的人认为供应链/第三方风险是高风险；最后，31%的受访者表示缺乏网络安全专业知识是对其组织的威胁。

网络钓鱼和社会工程仍然是首要威胁载体，在2021年CS中心年中网络支出和CISO趋势报告中，它被列为CISO面临的最危险威胁。

评论网络钓鱼和社会工程攻击结果，澳大利亚电力供应商Horizon Power的技术经理兼前CISO Jeff Campbell表示：“随着多年来边缘安全成熟度的提高，最简单的进入方式是通过最薄弱的环节，这通常往往是个人，因此让个人点击恶意链接或泄露信息仍然能产生成功的结果。”

第三方风险和人员短缺

考虑到供应链对许多人来说是一个日益增长的担忧，因为归根结底，无论你的防御有多好，供应商或供应商都可能成为你网络安全工作中的薄弱环节。

这一点在2022年1月身份和访问管理公司Okta因其第三方供应商之一而遭到破坏时得到了证明。3月23日，Okta披露，公司安全团队收到警报，称新的因素被添加到Okta的供应商之一Sitel的客户支持工程师的Okta账户中。这次入侵导致Lapsus$黑客组织在其Telegram频道上发帖称已入侵该公司。

事件发生后，Okta采取行动加强其安全状况和第三方风险管理策略。

75%的调查受访者表示，网络钓鱼/社会工程攻击是他们组织的首要关注点。

德国主要商业银行Commerzbank AG的美洲区域CISO Tom Kartanowicz评论说，第三方风险反映了更大的社会问题，并对网络产生下游影响。

“我们已经经历了两年的Covid-19、封锁、猖獗的通货膨胀和民族国家冲突，我们很幸运情况没有变得更糟，“Kartanowicz评论道。

“将职能外包或近岸外包的公司非常依赖这些公司的防御态势。有时，最好的进入方式是通过间接来源，例如第三方，他们可能具有弱点，使攻击者能够实现最终目标和目的。”

鼓励人们加入网络安全社区

那些融入网络安全社区的人会发现，缺乏熟练的网络人员是许多组织持续关注的问题，而全球劳动力短缺继续阻碍组织保护系统和网络的能力。

2021年，(ISC)网络安全劳动力研究指出，“全球网络安全劳动力需要增长65%才能有效保护组织的关键资产”。

评论技能短缺，Kartanowicz说，能够克服这个问题"没有任何灵丹妙药”。

“你需要一个人才管道，有时人才需要一段时间才能获得经验，从而成为专家，“Kartanowicz指出。“我还认为，当前的IT领域存在大量潜在的专业知识，如果IT专业人员转型从事网络职业，尤其是作为防御者或运营人员，这些知识可以得到利用。”

我们还阅读：Devsecops 2022报告

考虑到这三个重要问题，运营弹性是组织克服当今不断演变的威胁形势的关键，不仅在于正在投资的技术，还在于员工的人为因素。

2022年网络安全投资

图2：与2021财年相比，您的组织现在在网络安全上的支出是否更多？

考虑到本报告引言中阐述的背景，以及前一章显示的组织面临的威胁，看到网络安全的投资正在增加是积极的。

回顾网络安全中心过去进行的调查，在2020年11月，60%的受访者表示他们预计2021年上半年的网络预算会减少。当在2021年前六个月被问及时，45%的受访者表示他们的网络安全预算增加了，下半年这一比例上升至51%。

考虑到今天的支出，2022年调查的63%的受访者表示，他们的支出比2021财年略有或显著增加（见图2）。只有9%的人声称他们的支出略有或显著减少，28%的人表示支出保持不变。

令人高兴的是，我们已经达到这样一个点，即网络安全已成为公认的商业风险，支出现在与这种风险状况相匹配，Horizon Power的Campbell指出。

虽然这一增长对各地的网络安全专业人员来说都是好消息，但Kartanowicz警告说，宏观经济环境是令人担忧2023财年预算的一个原因。

“当经济环境是增长型时，花钱很容易，但随着2023年的衰退预测和经济环境的恶化，“Kartanowicz评论道。“如果这种趋势持续到明年，我会感到惊讶。今天的预算状况是健康的，但我担心明天。”

很难预测未来的支出情况，以及是否能证明风险降低，那么我们可能会看到网络安全支出持续缓慢增长。然而，放眼更广泛的经济，当组织被迫收紧钱袋时，支出可能趋于平稳甚至萎缩。

对于那些比2021财年花费更少在网络安全上的人来说，这是令人担忧的，如果他们沒有足够的安全控制措施，他们很可能最容易受到网络犯罪的影响。

图3：您目前正在投资哪些安全控制措施？

2022年解决方案投资

端点安全（44%）和威胁检测与响应（42%）是网络安全从业人员表示其组织正在投资的前两项安全控制措施（见图3）。云安全（25%）、电子邮件安全（28%）、访问管理工具（28%）和防火墙/代理/补丁/防病毒技术（30%）也被视为2022年的首要投资重点。

这与网络安全中心2021年行业报告中确定的趋势一致，该报告将端点安全视为首要投资选择。

考虑到调查结果，Kartanowicz说，端点和威胁检测与响应完全符合无休止的网络钓鱼和社会工程尝试。

“然而，这根本没有解决人才话题和缺乏专业知识的问题，而且没有任何平台或闪烁的闪亮盒子可以帮助解决这个问题，“Kartanowicz指出。“但从技术支出的角度来看，100%同意调查结果。”

早期检测是一项稳健的投资

端点本身并不是一个新现象，今天的组织必须考虑设备数量呈指数级增长，大多数员工需要访问多个设备才能完成工作。这一点，加上远程工作文化的出现以及从安全的内部网络转移，意味着组织需要对端点安全保持高度警惕。

Campbell指出，“任何提供早期检测和响应的投资都是一项好的投资，因为它提高了你最小化泄露风险的能力。分层控制，然后确保你的SIEM配置为向SOC提供数据，这是我会开始的地方。”

在解决方案方面，我们最近见证了扩展检测和响应（XDR）技术在通用端点检测和响应（EDR）市场中的出现，许多CISO实施该技术以加强其端点安全。

未来12个月计划

当询问我们的调查受访者未来12个月最大的投资重点是什么时，结果差异很大，没有单一的投资重点脱颖而出。然而，安全访问和网络可见性最不可能成为优先事项，Campbell说这可能与过去几年已经确定的投资重点有关。

44%的调查受访者表示，目前正在投资端点安全。

Campbell说：“大多数组织已经实施了VPN和多因素认证（MFA），正在利用下一代防火墙功能来提供网络可见性，而且他们已经这样做了很多年。”

我们还阅读：顶级XDR投资

然而，未来12个月的重点确实包括基本安全基础（30%）、安全数据管理（39%）以及威胁检测和事件响应（36%）。

我们可以清楚地看到，威胁检测和事件响应仍然是重中之重。

关于安全数据管理，众所周知，“数据是新的石油”，访问数据仍然是威胁行为者的首要目标。因此，能够制定安全的数据管理计划是当今所有组织的必须。数据管理也受到严格监管，例如GDPR和CCPA，因此增加了投资需求。

大多数组织都意识到，严重且重大的数据泄露可能会损害公司的公众形象。与数据泄露相关的一个负面头条新闻可能导致组织客户和客户的不信任。

安全数据管理可能已经跃升至未来12个月投资的前沿，但重要的是，许多组织（30%）也在考虑将基本网络安全基础作为投资领域。

我们可以清楚地看到，有充分理由讨论先进技术和最新趋势，但也有理由回归基础。如果要实施网络安全基础作为抵御威胁行为者的第一道防线，组织必须掌握诸如防火墙、渗透测试、MFA、事件响应计划和Web应用程序扫描等内容。

迈向无密码未来

自2000年代初以来，无密码的想法就一直存在，当时微软创始人和主席比尔·盖茨预测传统密码将因无法跟上不断发展的安全需求而消亡。

虽然那些精通安全的人继续输入10多个字符的密码，包含特殊字符、数字、小写和大写字母，但有些人仍然没有意识到"1234”、“qwerty"和"asdf"仍然是英语世界中最受欢迎的密码。

网络安全中心与LastPass首席安全技术官Christofer Hoff就该公司在2022年6月宣布通过LastPass Authenticator向LastPass保管库推出无密码登录后最近向无密码技术的转变进行了交谈。

CS中心：为什么有必要展望无密码未来？

CHRISTOFER HOFF： 平衡安全要求和员工的用户体验是企业今天面临的首要身份挑战，紧随其后的是员工必须管理"太多密码”。长期以来，企业一直将创建复杂密码的责任推给个人，而没有提供正确的教育、最佳实践和工具来管理和保护这些秘密。

现实情况是，虽然许多企业和员工在数字工作环境中蓬勃发展，但随着可用性变得复杂，安全差距也在扩大。这反映在大量的数据泄露中，事实上，在2022年Verizon数据泄露调查报告（DBIR）中，Web应用程序攻击中超过80%的泄露可归因于被盗凭证。

IT领导者必须为最终用户弥合无缝和安全之间的差距，这可以通过使用密码管理器并采用无密码方式来实现。

CS中心：CISO和当今的安全团队面临哪些挑战，而"采用无密码"旨在解决这些挑战？

CH： 现在是2022年，泄露仍然是由不良的密码卫生引起的。在最新的LastPass密码心理学报告中，50%的受访者表示他们在2021年拥有的账户比2020年多50%，随着数字生活的扩展，预计这一数字在2022年只会增长。最令人担忧的是，用户不保护这些账户或凭证，45%的受访者指出，即使在泄露发生后，他们也没有更改密码。

CISO需要通过简化员工的安全体验来减少人为错误。员工必须能够随时随地与内部和外部同事访问、使用和管理重要的账户凭证。部署单点登录[SSO]等点解决方案不足以保护您的业务，因为这会为那些不与SSO集成的应用程序留下安全漏洞，想想公司信用卡账户、Facebook、Twitter等等——所有这些都是在业务中常用的站点和凭证。

使用密码管理器并启用无密码登录可以减少员工与密码相关的登录摩擦，同时为IT保持最高级别的安全性。

CS中心：无密码登录如何提供比传统登录凭证更好的网络安全？

CH： 最简单地说，减少使用或输入密码的频率，反过来会降低总体风险和攻击面。用安全认证形式（例如用公钥/私钥加密密钥替换它们（FIDO2标准））替换密码比您今天所做的更安全，原因有几个。

CS中心：LastPass保管库的LastPass Authenticator——请讨论其工作原理、好处以及您如何看待其未来发展。

CH： 任何LastPass最终用户都可以免费下载LastPass Authenticator应用程序，并使用此验证器无密码登录其LastPass保管库。要启用无密码，用户将使用其主密码登录其账户，按照其账户设置中的引导提示操作，并同步LastPass Authenticator。

一旦启用，下次用户发起登录时，他们将通过LastPass Authenticator收到推送通知，而不是输入主密码，通过推送通知验证访问请求，然后进入其保管库。LastPass Authenticator成为登录LastPass保管库的主要身份验证方法。

未来，最终用户拥有的智能手机可以转换为漫游验证器，因此用户可以验证，并确保未来的登录不需要在新设备登录时注册。LastPass正在积极推动这一FIDO2标准。

CS中心：您认为今天想要开始使其公司实现无密码的组织面临的最大挑战是什么？他们如何克服这些挑战？

CH： 归根结底，密码还将存在很多很多年——尽管设备、操作系统和Web浏览器供应商（通常是同一家公司）取得了巨大进步。最大的挑战将是无密码采用的长尾，因为应用程序必须重写才能利用WebAuthn功能。这只需要时间和许多供应商的统一努力。

在采用发生的同时，组织制定一个包含IAM技术（如SSO、MFA和密码管理）的网络安全战略至关重要。虽然一些IT领导者——57%，已经将无密码技术列入其业务路线图，但所有IT领导者都应该推动关于如何简化这些安全措施的可用性的对话。

结论：网络安全仍然是运营优先事项

2022年的组织已经接受网络安全是高度优先事项，我们今天所处的威胁形势意味着他们必须继续发展其安全状况以确保运营弹性。

我们可以清楚地看到，网络钓鱼和社会工程攻击的威胁并未消失，并且仍然是网络安全从业人员的首要关注点。与此同时，一个新出现的问题是第三方供应商。组织现在不仅关心自己职责范围内发生的事情，现在还必须考虑其合作伙伴和供应商的安全状况，以避免攻击者使用第三方、第四方甚至第五方来访问其他方面安全的网络。

所有这一切都是在安全领导者必须应对网络领域技能短缺的同时发生的，这将需要长期投资以鼓励人们加入并留在网络安全领域。

网络安全投资应继续

与我们今天组织面临的威胁相关，端点安全和检测与响应能力是组织今天希望投资的前两项安全控制措施。

最终，这项投资与来自勒索软件团伙和网络犯罪分子的持续网络钓鱼和社会工程威胁相一致。

阻止针对组织的100%攻击和泄露可能是不可能的，这使得检测和响应能力在与当今威胁行为者的斗争中至关重要。泄露被识别的速度越快，组织在它成为头条新闻之前控制它的机会就越大。

基于缺乏投资优先级，我们可以认为是既定技术的是安全访问和网络可见性。根据我们的调查结果，未来12个月，这两个因素的投资额将最少，部分原因是大多数组织已经实施了下一代防火墙功能以提供网络可见性。

与2021财年相比，网络安全的总体投资正在增加，然而这一轨迹是否会持续可能取决于大多数组织控制之外的因素。Covid-19大流行的经济影响加上乌克兰-俄罗斯冲突使全球经济发生转变，一些人认为2022年对许多人来说将是至少轻度衰退的一年。

这带来的连锁影响是，组织可能被迫收紧钱袋以度过这一时期，最终这可能对网络安全预算产生影响。正如Kartanowicz评论的那样，今天的预算状况是健康的，但明天令人担忧。

保持网络卫生

“趋势会来来去去，但网络卫生的基础是相当恒定的——做好它（并非易事），你的组织将朝着正确的方向前进，“Kartanowicz说。

很明显，面对当今的威胁形势，像XDR和无密码创新这样的新技术已经成熟可供投资，同时，预算可能会根据全球经济情况波动。正如Kartanowicz正确指出的那样，当涉及到其网络安全状况时，这将使您的组织朝着正确的方向前进。

在本报告的引言中，我们发现组织高度优先考虑网络安全，因此无论其规模、状况或位置如何，所有组织都必须实施网络安全基础。

基本安全基础是我们30%调查受访者的重中之重，显然，做好基础是高度优先事项，也是加强安全状况和建立更先进的网络安全计划以应对不断演变的威胁形势的最重要步骤。

在此阅读报告PDF版本