近日，Proofpoint發布調研報告稱，重大攻擊威脅獲取董事會的支持是全世界首席信息安全官（CISO）的頭等要務。為撰寫年度《首席信息安全官之聲》報告，Proofpoint調查訪問了1400名CISO，近一半（48%）受訪者表示，其所在組織面臨未來12個月內遭受重大網絡攻擊的風險。相比2021年近三分之二（64%）的CISO表達類似關切，今年的數據已經大幅降低。

負責督導此項調查的Proofpoint全球常駐CISO Lucia Milica表示：“降幅有點驚人。新冠肺炎疫情襲來的時候，CISO匆忙上馬臨時控制措施以應對遠程工作人員激增，使企業能夠安全運轉。歷經兩年時間，CISO已有時間采用更長期的控制措施來支持混合工作模式。這讓許多CISO感到寬慰，覺得自己可以保護所在組織。”

僅28%的CISO將勒索軟件視為最大威脅之一

被問及自從轉向混合工作模式以來的針對性攻擊時，CISO的這種情緒就更加明顯了。超過半數（51%）的受訪者稱，隨著混合工作的增加，此類攻擊也有所上升。但是，相較于2021年58%的CISO將此類攻擊的增加歸咎于混合工作，今年的數據還是下降了。

替Proofpoint執行這項調查的Censuswide還發現，對未來網絡攻擊的焦慮因國家而異。CISO最擔心重大網絡攻擊的國家是法國（80%）、加拿大（72%）和澳大利亞（68%），而最不擔心的國家包括荷蘭（28%）和沙特阿拉伯（27%）。

受訪CISO表示，其組織所面臨的主要威脅是內部人威脅（31%）、DDos攻擊（30%）、電子郵件欺詐（30%）和云賬戶入侵（30%）。僅28%的受訪CISO將勒索軟件視為自家組織面臨的最大威脅之一，比2021年的數據略有增加。

Milica稱：“我覺得，許多安全主管在部署適當安全控制措施應對勒索軟件方面感到欣慰，而在內部人威脅之類的問題上，圍繞處理流程尚存在更多細微差別。”

對CISO的期望過高

然而，根據報告，這種欣慰恐怕錯付了。很多組織似乎對任何規模的贖金要求都毫無準備，42%的受訪CISO承認，其所在機構更比沒有制定贖金策略。十分之四的受訪CISO沒有解決勒索軟件事件的預案。

該報告還發現，盡管與2021年（57%）相比顯著下降，仍有近一半（49%）的CISO表示，他們的上級和同事對CISO在組織中的作用抱有過高的期望。

報告還呈現了CISO在組織中的角色，揭示了他們對于自己從董事會所獲支持的感受。約半數（51%）CISO表示，在網絡安全問題上，自己與董事會意見一致。這一比例相對于2021年的59%可謂降幅巨大。

Milica稱：“這令人驚訝，因為我覺得去年有大量媒體關注重大數據泄露事件，提升了高管層的參與度，但與董事會意見一致的比例卻下降了。我還以為會增加的。”