ISACA：半數(shù)機構(gòu)稱網(wǎng)絡(luò)攻擊頻率正在上升但資源短缺仍存在

2017-06-07 16:44:12 作者：來源：CTI論壇評論：0 　點擊：

　　80%的ISACA受調(diào)對象認為其機構(gòu)今年將遭到網(wǎng)絡(luò)攻擊，但很多機構(gòu)仍未采取任何防范措施　　
　　ISACA 2017年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查（2017 State of Cyber Security Study）第二部分指出，層出不窮的新威脅與持續(xù)的資源挑戰(zhàn)限制了機構(gòu)防范網(wǎng)絡(luò)入侵的能力。在參加該調(diào)查的安全業(yè)務(wù)領(lǐng)導(dǎo)者中，有80%認為他們的企業(yè)今年可能會遭到網(wǎng)絡(luò)攻擊，但是很多機構(gòu)在應(yīng)對威脅方面依然步履維艱。

　　超過半數(shù)（53%）的受調(diào)對象稱2016年的網(wǎng)絡(luò)攻擊出現(xiàn)了同比增長，主要表現(xiàn)為侵入點和類型的變化：

　　97%的機構(gòu)都加大了對物聯(lián)網(wǎng)的使用，物聯(lián)網(wǎng)取代移動業(yè)務(wù)，成為網(wǎng)絡(luò)防御的重點對象。隨著物聯(lián)網(wǎng)在各大機構(gòu)的普及，網(wǎng)絡(luò)安全專業(yè)人士需確保實施相應(yīng)的通信協(xié)定，以防范新的威脅侵入點。

　　62%的受調(diào)對象稱在2016年曾遭受過勒索軟件的侵襲，但僅有53%的受調(diào)對象擁有正規(guī)的防范措施�？紤]到最近WannaCry勒索軟件攻擊所造成的國際影響，這一數(shù)字令人擔(dān)憂。

　　總體來說，破壞機構(gòu)業(yè)務(wù)或用戶數(shù)據(jù)的惡意攻擊依然高居不下（78%的機構(gòu)稱遭受了此類攻擊）。

　　此外，不到1/3的機構(gòu)（31%）表示它們會定期測試安全管控系統(tǒng)，其中的13%從未測試過。16%的機構(gòu)并沒有制定事故響應(yīng)方案。

　　信息系統(tǒng)審計師（CISA）、注冊信息安全員（CISM）、ISACA 董事會主席兼INTRALOT信息安全小組負責(zé)人Christos Dimitriadis博士表示，“企業(yè)所面臨的威脅和其及時或有效應(yīng)對這些威脅的防范能力之間存在很大的差距，這一點令人感到擔(dān)憂。網(wǎng)絡(luò)安全專家面臨著來自于機構(gòu)基礎(chǔ)設(shè)施安全的巨大需求，而且其團隊需要得到適當(dāng)?shù)呐嘤?xùn)、資源，并為此做好準(zhǔn)備。”

　　網(wǎng)絡(luò)安全資源問題

　　今年的受調(diào)對象認為，盡管企業(yè)領(lǐng)導(dǎo)層將網(wǎng)絡(luò)安全作為一項重點工作，但網(wǎng)絡(luò)安全專業(yè)團隊仍面臨著不少障礙。

　　好消息在于：越來越多的機構(gòu)如今都已聘請了首席信息官，目前這一比例為65%，較2016年的50%有所上升。然而，安全業(yè)務(wù)領(lǐng)導(dǎo)者在填補網(wǎng)絡(luò)安全職務(wù)空缺方面仍是一籌莫展，今年的網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查的第一部分也提到了這一點，近半（48%）的受調(diào)對象認為其網(wǎng)絡(luò)團隊的能力仍存在不足，只能解決一些簡單的網(wǎng)絡(luò)安全問題。此外，超過半數(shù)的受調(diào)對象稱，網(wǎng)絡(luò)安全專業(yè)人士對于業(yè)務(wù)缺乏了解。

　　雖然我們急需通過培訓(xùn)來解決上述技能短缺問題，但在四分之一的機構(gòu)當(dāng)中，網(wǎng)絡(luò)安全團隊成員的人均培訓(xùn)預(yù)算不足1,000美元。盡管整體的網(wǎng)絡(luò)安全預(yù)算仍然較高，但今年追加網(wǎng)絡(luò)安全預(yù)算的企業(yè)卻有所減少。約半數(shù)的企業(yè)將提升其預(yù)算，較2016年的61%有所下滑。

　　Dimitriadis表示，“各大機構(gòu)爭相設(shè)立首席信息安全官意味著領(lǐng)導(dǎo)層對企業(yè)的安全保障愈發(fā)重視，這一點令人欣慰，但它并不是包治百病的靈丹妙藥。隨著惡意攻擊數(shù)量的增加，資源的短缺會讓各大機構(gòu)舉步維艱。然而，我們看到，有如此多的受調(diào)對象對于其安全業(yè)務(wù)團隊解決復(fù)雜問題缺乏信心，因此我們深知還有更多事情有待我們完成，以應(yīng)對所有企業(yè)所面臨的緊急網(wǎng)絡(luò)安全挑戰(zhàn)。”

　　可登陸www.isaca.org/state-of-cyber-security-2017免費下載ISACA 2017年網(wǎng)絡(luò)安全現(xiàn)狀調(diào)查。該調(diào)查第一部分探討了勞動力問題，第二部分討論了威脅格局。該報告將成為ISACA Cybersecurity Nexus （CSX）的最新資源，后者致力于為網(wǎng)絡(luò)安全專業(yè)人士和那些希望學(xué)習(xí)網(wǎng)絡(luò)安全技能的人士提供知識、基于技能的培訓(xùn)和基于表現(xiàn)的認證以及職業(yè)指導(dǎo)。

　　關(guān)于ISACA

　　ISACA （isaca.org）已成立近50個年頭，是一個全球性的組織，致力于幫助個人和企業(yè)實現(xiàn)技術(shù)的積極潛能。ISACA利用其50萬專業(yè)人士的專長，以及ISACA企業(yè)績效業(yè)務(wù)分公司CMMI Institute，通過技術(shù)幫助促進創(chuàng)新，這些專業(yè)人士遍布信息和網(wǎng)絡(luò)安全、治理、保證、風(fēng)險和創(chuàng)新領(lǐng)域。