CISO調查:2021最大威脅是勒索軟件
根據Proofpoint針對英國CISO的最新調查,53%的CISO和CSO報告他們的組織在2020年遭受了至少一次重大網絡攻擊,其中14%遭受了多次攻擊。
2021年這種趨勢不會下降,有64%的人表示擔心其組織在2021年有遭受攻擊的風險。大型企業面臨更大的威脅,人員規模超過2500名員工的企業中,89%的CSO和CISO表示擔心,而規模超過5,000人的企業中有83%擔心受到攻擊。但更令人擔憂的是,仍然有28%的受訪者認為2021年網絡攻擊不會造成大麻煩。
勒索軟件是最大威脅
根據Risk Based的全球數據泄露事件年度分析,2020年全球數據泄露事件的數量下降了一半,降至不到4,000例,但泄露數據記錄的數量增加了一倍以上,同期勒索軟件泄露的數據數量也翻了一番,這表明攻擊者正在將更多精力放在勒索軟件上,而數據泄露(勒索)已經逐漸成為勒索軟件的“標準操作”之一。
2021年,隨著云計算的快速普及,勒索軟件越來越多地將以云存儲為目標,以最大程度地發揮影響力并增加杠桿作用以提高利潤、擴大企業數據泄露規模和風險。
Proofpoint的調查顯示,有46%的CSO/CISO認為勒索軟件是未來兩年對其業務最大的網絡安全威脅。其次是云賬戶入侵(39%)、內部威脅(33%)和網絡釣魚(30%)。
值得注意的是,只有24%的CSO/CISO認為模擬攻擊和商業電子郵件攻擊(BEC)是潛在的最大網絡威脅。但事實上BEC攻擊已經迅速成為全球造成損失最大的網絡風險之一(FBI估計三年來BEC造成的損失為265億美元),該項調查數據表明許多IT領導者低估了BEC風險。
網絡犯罪集團相互協作
雖然勒索軟件仍然是企業面臨的最大威脅,但是2021年一個不可忽視的重要變化是網絡犯罪集團之間的相互協作。
網絡犯罪分子最常利用的三種攻擊獲利方式是BEC、電子郵件賬戶泄露(EAC)和勒索軟件。過去,許多專門從事BEC和EAC的攻擊者即使擁有必要的訪問權限,也往往不會充當勒索軟件的初始訪問代理。同樣,勒索軟件攻擊者也不會利用BEC和EAC攻擊。但是Proofpoint認為,隨著威脅行為者越來越多地協作以進行更有效的攻擊并獲得更高的利潤,這種情況將在2021年發生改變。
例如,我們將看到公司被EAC攻擊后,攻擊者又將訪問權“轉售”給另一個組織以實施勒索軟件攻擊,或者EAC小組提高技能并開始利用市售的勒索軟件工具。此外還要注意更高級的BEC和EAC攻擊。
人為錯誤是最大風險
55%的受訪CISO/CSO認為,無論采用何種網絡安全解決方案,人為錯誤/網絡安全意識淡漠依然是其業務的最大風險。
員工有以下行為最容易導致企業遭受網絡攻擊:
- 點擊惡意鏈接或下載受感染的文件(43%);
- 成為網絡釣魚電子郵件的受害者(39%);
- 故意泄露數據(35%);
- 未經授權使用設備和應用程序(35%)。
但是,盡管IT領導知道員工可能對其業務構成的風險,但仍有44%的受訪者表示他們不知道組織中風險最高的員工是誰。
員工培訓和意識是重中之重
改善員工培訓和意識是重中之重,但仍然存在障礙。盡管人為錯誤和缺乏網絡安全意識給組織帶來了很高的風險,但只有28%的受訪企業承認每年進行兩次以上的全面安全意識培訓活動。
但是,有73%的受訪者認為需要改善員工的網絡安全意識培訓。盡管CISO面臨眾多挑戰,但仍有49%的受訪CISO將(安全意識培訓)作為2021年的頭等大事。
不幸的是,對于許多CSO/CISO來說,這可能是一場艱苦的戰斗,因為54%的人認為有限的時間和資源是制定有效安全意識培訓計劃的障礙,而50%的人認為董事會沒有足夠重視有效網絡安全防護的重要性。
企業仍未做好安全遠程工作的準備
在2021年,許多企業正在為其員工尋找長期的遠程工作計劃。
盡管自新冠病毒大流行開始以來,大多數企業有9個月的計劃和準備時間,但僅22%的CISO認為其員工已經具備充分的能力和裝備進行遠程工作,這表明很多企業為了業務的連續性倉促實施遠程辦公,導致很多支持工作并未跟上(IT與網絡安全、人員培訓)。
正如調查數據所反映的,64%的CISO認為他們的組織當前由于遠程工作而更容易受到網絡威脅。
網絡安全預算預期增加
73%的受訪CSO/CISO預計其網絡安全預算將在未來兩年內增加。有25%的人預計他們的預算會增加10%以上。受訪CSO/CISO還報告說,在提高員工網絡安全意識(49%)之后,投資雇用新人才和提高員工技能是2021年的第二高優先級任務(47%)。
Proofpoint的CISO安德魯·羅斯指出:“令人鼓舞的是,大多數IT領導者已經意識到他們所面臨的風險和挑戰。不過,讓人擔心的是商務電子郵件攻擊沒有得到應有重視,因為它比勒索軟件更普遍,并且仍然能夠造成巨大的財務損失。企業將員工安全意識作為優先事項,這是積極的信號,因為定期和全面的安全意識培訓對于建立高彈性的安全文化至關重要。以人為本的策略對于組織來說是必須的,首先要確定最脆弱的用戶,并確保他們掌握了保護自己和企業的知識和工具。”
參考資料:https://www.proofpoint.com/sites/default/files/white-papers/UK_CISO-REPORT_FINAL.pdf
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
