调查：70%的CISO认为未来12个月内面临网络攻击风险

网络安全与合规公司Proofpoint,Inc.最近发布了其年度《首席信息安全官之声》报告，该报告探讨了全球首席信息安全官(CISO)面临的主要挑战、期望和优先事项。

2024年的报告引起了人们对一个显著趋势的关注：尽管对网络攻击的担忧不断增加，但CISO对其防御这些威胁的能力表现出越来越大的信心，这反映了网络安全格局的重大转变。超过三分之二(70%)的受访首席信息安全官认为未来12个月有遭受重大网络攻击的风险，而去年这一比例为68%，2022年为48%。今天的首席信息安全官显然仍保持高度警惕，但他们的信心正在增强:只有43%的首席信息安全官对应对有针对性的网络攻击毫无准备，这一比例比去年的61%和2022年的50%明显下降。

人为失误仍被视为网络安全的致命弱点，近四分之三(74%)的CISO认为人为失误是网络安全的最大弱点。在内部威胁和人为数据丢失不断增加的一年里，比以往任何时候都多的CISO(80%)认为人为风险，尤其是员工疏忽大意是未来两年网络安全的主要隐患。然而，人们对人工智能解决方案在减轻以人为本的风险方面的作用越来越乐观，这反映出向技术驱动防御的战略转变。

《2024年首席信息安全官之声》报告分析了来自不同行业1000名或以上员工的1600名首席信息安全官的全球第三方调查反馈。在2024年第一季度，我们采访了来自美国、加拿大、英国、法国、德国、意大利、西班牙、瑞典、荷兰、阿联酋、沙特阿拉伯、澳大利亚、日本、新加坡、韩国和巴西等16个国家的100名首席信息安全官。

该报告从保护人员和数据安全的一线人员的角度，对网络安全状况进行了重要分析。报告还强调了在面临经济压力的情况下保持强有力的网络安全措施的重要性，以及人为因素在组织网络准备中的关键作用。该调查还衡量了安全领导者和董事会之间协调的变化，探讨了他们之间的关系如何影响安全优先事项。

尽管网络安全形势随着以人为中心的威胁不断增加而不断发展，但《2024年首席信息安全官之声》报告强调，全球首席信息安全官似乎正在朝着提高复原力、准备和信心的方向转变。今年的调查结果强调了向战略防御的集体转变，包括加强教育、采用技术以及对生成式人工智能等新兴威胁采取适应性方法。

Proofpoint的《2024年首席信息安全官之声》报告的主要全球发现包括：

●人为错误仍然是网络漏洞威胁的首要因素，但CISO开始寻求AI解决方案来提供帮助。今年，我们看到越来越多的CISO将人为错误视为其组织最大的网络漏洞——今年的调查中这一比例为74%，而2023年这一比例为60%。然而，86%的CISO认为员工了解他们在保护组织方面的作用。这种信心高于前几年——2023年为61%，2022年为60%。这可能归因于87%的受访CISO希望部署AI驱动的功能，来帮助防范人为错误和以人为中心的高级网络威胁。

● 越来越多的CISO担心网络攻击，但感到准备不足的CISO却越来越少，这表明他们对安全措施的信心越来越强。2024年，70%的受访CISO认为未来12个月内可能遭受重大网络攻击，而2023年这一比例为68%，2022年这一比例为48%。然而，只有43%的人认为他们的组织没有准备好应对有针对性的网络攻击，而2023年这一比例为61%，2022年这一比例为50%。

● 生成式人工智能是首席信息安全官最关心的安全问题。2024年，54%的受访首席信息安全官认为生成式人工智能会给其组织带来安全风险。首席信息安全官认为会给其组织带来风险的三大系统是：ChatGPT/其他genAI（44%）、Slack/Teams/Zoom/其他协作工具（39%）和Microsoft365（38%）。

● 员工流动率仍然是一个问题，但CISO相信他们的防御措施。2024年，46%的安全主管报告称，在过去12个月中，他们不得不处理敏感数据的重大损失，其中73%的人认为员工离职是造成损失的原因之一。尽管存在这些损失，但81%的CISO认为他们有足够的控制措施来保护他们的数据。

● 大多数CISO都采用了DLP技术并在安全教育方面投入了更多资金。2024年接受调查的CISO中有51%已采用数据丢失防护技术(DLP)，而2023年这一比例仅为35%。超过一半(53%)的受访CISO投资于对员工进行数据安全最佳实践教育，这一比例在2024年高于2023年(39%)。

● 勒索软件和恶意软件是CISO最担心的问题。2024年，CISO认为最大的网络安全威胁是勒索软件攻击(41%)、恶意软件(38%)和电子邮件欺诈(36%)。这些主要威胁与去年不同；商业电子邮件入侵(BEC)从第一位下降，勒索软件上升到第一位，恶意软件上升到第二位。

● 在支付赎金方面立场稳定，对网络保险的依赖增加。2024年，首席信息安全官对支付赎金的看法没有变化。62%的首席信息安全官认为，如果在未来12个月内受到勒索软件攻击，他们的组织将支付赎金以恢复系统并防止数据泄露。79%的首席信息安全官表示，他们将依靠网络保险索赔来挽回可能造成的损失，而2023年这一比例为61%。

● 董事会与CISO的关系已显著改善。2024年，84%的CISO同意其董事会成员在网络安全问题上与他们意见一致。这一比例较2023年的62%和2022年的51%有显著增长。

● CISO面临的压力从未消退。2024年，53%的CISO承认自己有职业倦怠感，而去年这一比例为60%，66%的CISO认为自己面临着过高的期望，这一比例较去年的61%和2022年的49%稳步上升。对CISO的持续期望的可持续性仍将受到考验，66%的人担心个人责任（2023年为62%），72%的人（2023年为61%）不会加入不提供董事和高管(D&O)保险的组织。此外，59%的CISO同意当前的经济衰退妨碍了他们进行关键业务投资的能力，其中48%的人被要求裁员或推迟补员以及削减安全预算。

在我们应对当今复杂的网络威胁环境时，看到首席信息安全官对他们的策略和工具越来越有信心，这令人欣慰。然而，员工流动率、资源压力以及董事会持续参与的需求等持续挑战提醒我们，警惕和适应是我们集体网络弹性的关键。

生成海报

免责声明：本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时，应及时向本网站提出书面权利通知或不实情况说明，并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后，将会依法尽快联系相关文章源头核实，沟通删除相关内容或断开相关链接。