網(wǎng)絡(luò)安全與合規(guī)公司Proofpoint,Inc.最近發(fā)布了其年度《首席信息安全官之聲》報告，該報告探討了全球首席信息安全官(CISO)面臨的主要挑戰(zhàn)、期望和優(yōu)先事項。

2024年的報告引起了人們對一個顯著趨勢的關(guān)注：盡管對網(wǎng)絡(luò)攻擊的擔(dān)憂不斷增加，但CISO對其防御這些威脅的能力表現(xiàn)出越來越大的信心，這反映了網(wǎng)絡(luò)安全格局的重大轉(zhuǎn)變。超過三分之二(70%)的受訪首席信息安全官認(rèn)為未來12個月有遭受重大網(wǎng)絡(luò)攻擊的風(fēng)險，而去年這一比例為68%，2022年為48%。今天的首席信息安全官顯然仍保持高度警惕，但他們的信心正在增強(qiáng):只有43%的首席信息安全官對應(yīng)對有針對性的網(wǎng)絡(luò)攻擊毫無準(zhǔn)備，這一比例比去年的61%和2022年的50%明顯下降。

人為失誤仍被視為網(wǎng)絡(luò)安全的致命弱點(diǎn)，近四分之三(74%)的CISO認(rèn)為人為失誤是網(wǎng)絡(luò)安全的最大弱點(diǎn)。在內(nèi)部威脅和人為數(shù)據(jù)丟失不斷增加的一年里，比以往任何時候都多的CISO(80%)認(rèn)為人為風(fēng)險，尤其是員工疏忽大意是未來兩年網(wǎng)絡(luò)安全的主要隱患。然而，人們對人工智能解決方案在減輕以人為本的風(fēng)險方面的作用越來越樂觀，這反映出向技術(shù)驅(qū)動防御的戰(zhàn)略轉(zhuǎn)變。

《2024年首席信息安全官之聲》報告分析了來自不同行業(yè)1000名或以上員工的1600名首席信息安全官的全球第三方調(diào)查反饋。在2024年第一季度，我們采訪了來自美國、加拿大、英國、法國、德國、意大利、西班牙、瑞典、荷蘭、阿聯(lián)酋、沙特阿拉伯、澳大利亞、日本、新加坡、韓國和巴西等16個國家的100名首席信息安全官。

該報告從保護(hù)人員和數(shù)據(jù)安全的一線人員的角度，對網(wǎng)絡(luò)安全狀況進(jìn)行了重要分析。報告還強(qiáng)調(diào)了在面臨經(jīng)濟(jì)壓力的情況下保持強(qiáng)有力的網(wǎng)絡(luò)安全措施的重要性，以及人為因素在組織網(wǎng)絡(luò)準(zhǔn)備中的關(guān)鍵作用。該調(diào)查還衡量了安全領(lǐng)導(dǎo)者和董事會之間協(xié)調(diào)的變化，探討了他們之間的關(guān)系如何影響安全優(yōu)先事項。

盡管網(wǎng)絡(luò)安全形勢隨著以人為中心的威脅不斷增加而不斷發(fā)展，但《2024年首席信息安全官之聲》報告強(qiáng)調(diào)，全球首席信息安全官似乎正在朝著提高復(fù)原力、準(zhǔn)備和信心的方向轉(zhuǎn)變。今年的調(diào)查結(jié)果強(qiáng)調(diào)了向戰(zhàn)略防御的集體轉(zhuǎn)變，包括加強(qiáng)教育、采用技術(shù)以及對生成式人工智能等新興威脅采取適應(yīng)性方法。

Proofpoint的《2024年首席信息安全官之聲》報告的主要全球發(fā)現(xiàn)包括：

● 人為錯誤仍然是網(wǎng)絡(luò)漏洞威脅的首要因素，但CISO開始尋求AI解決方案來提供幫助。今年，我們看到越來越多的CISO將人為錯誤視為其組織最大的網(wǎng)絡(luò)漏洞——今年的調(diào)查中這一比例為74%，而2023年這一比例為60%。然而，86%的CISO認(rèn)為員工了解他們在保護(hù)組織方面的作用。這種信心高于前幾年——2023年為61%，2022年為60%。這可能歸因于87%的受訪CISO希望部署AI驅(qū)動的功能，來幫助防范人為錯誤和以人為中心的高級網(wǎng)絡(luò)威脅。

● 越來越多的CISO擔(dān)心網(wǎng)絡(luò)攻擊，但感到準(zhǔn)備不足的CISO卻越來越少，這表明他們對安全措施的信心越來越強(qiáng)。2024年，70%的受訪CISO認(rèn)為未來12個月內(nèi)可能遭受重大網(wǎng)絡(luò)攻擊，而2023年這一比例為68%，2022年這一比例為48%。然而，只有43%的人認(rèn)為他們的組織沒有準(zhǔn)備好應(yīng)對有針對性的網(wǎng)絡(luò)攻擊，而2023年這一比例為61%，2022年這一比例為50%。

● 生成式人工智能是首席信息安全官最關(guān)心的安全問題。2024年，54%的受訪首席信息安全官認(rèn)為生成式人工智能會給其組織帶來安全風(fēng)險。首席信息安全官認(rèn)為會給其組織帶來風(fēng)險的三大系統(tǒng)是：ChatGPT/其他genAI（44%）、Slack/Teams/Zoom/其他協(xié)作工具（39%）和Microsoft365（38%）。

● 員工流動率仍然是一個問題，但CISO相信他們的防御措施。2024年，46%的安全主管報告稱，在過去12個月中，他們不得不處理敏感數(shù)據(jù)的重大損失，其中73%的人認(rèn)為員工離職是造成損失的原因之一。盡管存在這些損失，但81%的CISO認(rèn)為他們有足夠的控制措施來保護(hù)他們的數(shù)據(jù)。

● 大多數(shù)CISO都采用了DLP技術(shù)并在安全教育方面投入了更多資金。2024年接受調(diào)查的CISO中有51%已采用數(shù)據(jù)丟失防護(hù)技術(shù)(DLP)，而2023年這一比例僅為35%。超過一半(53%)的受訪CISO投資于對員工進(jìn)行數(shù)據(jù)安全最佳實(shí)踐教育，這一比例在2024年高于2023年(39%)。

● 勒索軟件和惡意軟件是CISO最擔(dān)心的問題。2024年，CISO認(rèn)為最大的網(wǎng)絡(luò)安全威脅是勒索軟件攻擊(41%)、惡意軟件(38%)和電子郵件欺詐(36%)。這些主要威脅與去年不同；商業(yè)電子郵件入侵(BEC)從第一位下降，勒索軟件上升到第一位，惡意軟件上升到第二位。

● 在支付贖金方面立場穩(wěn)定，對網(wǎng)絡(luò)保險的依賴增加。2024年，首席信息安全官對支付贖金的看法沒有變化。62%的首席信息安全官認(rèn)為，如果在未來12個月內(nèi)受到勒索軟件攻擊，他們的組織將支付贖金以恢復(fù)系統(tǒng)并防止數(shù)據(jù)泄露。79%的首席信息安全官表示，他們將依靠網(wǎng)絡(luò)保險索賠來挽回可能造成的損失，而2023年這一比例為61%。

● 董事會與CISO的關(guān)系已顯著改善。2024年，84%的CISO同意其董事會成員在網(wǎng)絡(luò)安全問題上與他們意見一致。這一比例較2023年的62%和2022年的51%有顯著增長。

● CISO面臨的壓力從未消退。2024年，53%的CISO承認(rèn)自己有職業(yè)倦怠感，而去年這一比例為60%，66%的CISO認(rèn)為自己面臨著過高的期望，這一比例較去年的61%和2022年的49%穩(wěn)步上升。對CISO的持續(xù)期望的可持續(xù)性仍將受到考驗，66%的人擔(dān)心個人責(zé)任（2023年為62%），72%的人（2023年為61%）不會加入不提供董事和高管(D&O)保險的組織。此外，59%的CISO同意當(dāng)前的經(jīng)濟(jì)衰退妨礙了他們進(jìn)行關(guān)鍵業(yè)務(wù)投資的能力，其中48%的人被要求裁員或推遲補(bǔ)員以及削減安全預(yù)算。

在我們應(yīng)對當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境時，看到首席信息安全官對他們的策略和工具越來越有信心，這令人欣慰。然而，員工流動率、資源壓力以及董事會持續(xù)參與的需求等持續(xù)挑戰(zhàn)提醒我們，警惕和適應(yīng)是我們集體網(wǎng)絡(luò)彈性的關(guān)鍵。