最近几年，各大企业组织的安全团队都比较难熬。Petya 和 NotPetya 这种大规模攻击让安全从业人员疲于应付，也表明网络安全事件的影响范围在急剧扩大。最近几个月，美国政府开发的恶意程序及搜集的漏洞资料被泄露（主要是维基解密所披露的一系列 CIA 工具文档），也让网络犯罪团伙有了更多的利用工具。IT 行业不得不苦苦挣扎，及时关注安全信息、为系统或软件打上重要的安全修复补丁并及时更新，以求得企业正常运转。同时，IoT 等新技术的出现也带来了新的安全问题。

CSO 的一份新调查表明，网络安全问题引起了美国很多公司的重视，他们开始关注并寻求解决网络安全问题的方法。这份调查结果不仅揭示了美国各大企业所面临网络威胁的性质和规模，还明确说明了这些企业给出的应对措施。

CSO 与美国特工处及卡内基梅隆大学软件工程学院的的网络应急响应小组合作，一起展开调查并产出了网络犯罪报告。本年度的报告还受到了 Forcepoint 的赞助。

以下是报告的关键信息：

在 510 个受访对象中，有 70% 是所有行业和公共领域的副总级别甚至更高级别的高管，其中 35% 是企业管理者。 41%  的受访对象公司规模大于 500 人，另外 59% 的受访对象来自 500 人以下的公司。

受访对象信息

这些公司的平均 IT 安全预算为 1100 万美元，而平均职工数为 9795 人。

平均 IT 预算与平均职工数目

企业对待安全越来越认真

企业以及其他组织对待安全的态度越来越认真，有时候安全问题所使用的公司资源甚至是在增加的。有 20% 的首席安全官（CSO）和 CISO（首席信息安全官）每月会向董事会汇报公司安全情况，而在上一年（2016 年），这个比例只有 17% 。然而，仍然有 61% 的董事会认为安全问题只是 IT 问题，并非是企业管理的问题。不过这个比例与上一年的 63% 相比，还是有所下降的。

网络安全问题只是 IT 问题？

CSO及CISO 向董事会汇报的频率增加

各公司在 IT 安全方面的花费逐渐增加，平均预算增加了 7.5%。其中 10% 的受访对象表示自己所在公司的 IT 安全预算增加了 20%。有 40% 的公司将预算集中于开发或引进新技术。除安全技术外，很多公司将预算花费在知识性技能上：有34% 的公司将预算集中于审计、评估；33% 的公司将预算集中于提升新安全能力；25% 的公司将预算集中于探究并重新设计公司的网络安全策略；17% 的公司将预算集中于重新设计安全流程；15% 的公司将预算集中于情报分享（以上数据有所交叉）。

保持技术更新是解决新出现威胁的关键

有 35% 的受访对象表示，公司尚未将网络响应计划纳入网络安全策略。好消息是，19% 的受访者表示将会在明年采纳并实施网络响应计划。

企业不断提升对网络威胁的重视程度并提高预算，这让他们对公司的安全能力更有信心，就算他们使用移动技术、云以及 IoT 等风险较大的技术或产品，也不太担心。76% 的受访对象表示自己有专业能力解决相关的安全问题。但同时，也有 74% 的受访对象对安全问题更加担心了，这与 2016 年的 64% 的比例相比，有了大幅增加。

很多企业认为自己有能力解决新技术带来的安全问题

对网络安全事件的担忧大幅增加

安全事件有所减少，但带来的影响并未减弱

受访对象预计，公司遭遇的安全事件从去年的 161 起下降到 148 起，总比下降 8.2%。然而，尽管安全事件的数量有所下降，但造成的损失却不小。有 68% 的受访者表示公司安全事件带来的损失与去年相比几乎相同甚至更高。没有因为安全事件遭受损失的企业从去年的 36% 减少到 30%。这种情况着实引人警醒。

安全事件数量有所减少

调查结果显示，尽管安全事件的整体数量有所下降，但造成的损失却有所增加。过去一年中，有 14% 的受访对象表示公司核心系统遭到破坏，与之前 10% 的比例相比上升不少。10% 的企业表示机密或财产信息都蒙受损失，而之前这一比例只有 7%。同时，损坏公司名誉或影响客户和合伙人的安全事件都减少到了 4% 。

网络攻击类型及企业中招状况

尽管安全事件的整体数量下降了，但钓鱼和勒索软件攻击的数量以及遭受损失的公司数量都有所上升。

如果你一直关注网络攻击报告，就会发现网络攻击的种类其实在不断增加。36% 的受访对象表示曾遭受过钓鱼攻击，与上一年相比增加了 10%。勒索软件攻击也从 14% 增加到了 17%。财务诈骗从 7% 增加到了 12%。

关键内容：

《2017 网络犯罪现状报告》结果表明，大多数公司都加大了打击网络犯罪的力度并尽力减少损失。同时，很多公司的防御状况都落后于网络威胁环境现状或同行中优秀成员的网络安全现状。他们只有注重以下几个方面，尽力追赶，才有可能迎头赶上：

1. 认识到安全问题并不仅仅是 IT 问题。更多的 CSO 和 CISO 开始向董事会汇报安全状况，因为从高层开始实施的有效的网络安全策略应当覆盖全公司各个领域。更多地向高级管理层和涵盖公司各领域成员的风险委员会汇报安全问题也是一个好的开始。

2.向公司的安全团队成员投资。这可以确保安全团队成员可以获得资源和培训，及时了解最新的安全威胁。让他们加入分享威胁情报及应对措施的组织也很重要。

3. 加深对网络威胁的深度视野。39% 的受访对象认为外部威胁带来的损失最严重。一旦发生外部入侵，平均需要 92 天的时间才能检测到。因此，评估所使用的入侵检测工具和进程就很有用。

2015年起，入侵检测所需时间不断增加

4. 持续培训员工的安全意识并不断更新。来自公司内部的的安全事件有 28% 是由于无心之失。由于诈骗类攻击的比例不断上升，公司有必要对员工进行定期安全意识培训，并且要紧跟威胁现状。

导致企业内部遭受攻击的原因

5. 评估公司供应链以及合伙人的网络安全能力。网络犯罪的通常都从较小的公司下手，进而获取其合作对象中大公司的数据。因为在攻击者眼中，小公司通常都比较容易入侵。因此，大公司需要确保自己供应链中的各个环节都不要出错或暴露弱点。

6. 测试、测试，再测试！报告显示，只有 53% 的受访对象表示公司有测试安全项目的合理方法。测试是必不可少的，而且不能仅仅一年才测一次。网络威胁当前的发展要求公司必须定期进行常规的安全测试。

最终结论：

1.  企业组织的安全策略依赖于许多威胁情报共享组织，但目前仍然很难实现全面的威胁情报共享；

2.  董事会在企业安全中起到重要作用，不过背后原因各不相同；

3.  尽管企业在 IT 方面的预算不断增加，且的确成功让安全事件数量有所减少，但安全事件造成的损失并未减少；

4.  成功的钓鱼和勒索软件攻击数量有所增长；且总体而言，网络威胁变得更难检测；

5.  2017 年针对网络威胁的担忧大幅上升；

6.  外部攻击仍被视为最大的威胁；有针对性的攻击越来越普遍。同时，公司内部的员工也会因为钓鱼诈骗和无心之失引起安全事故，这需要公司加强对员工的安全培训；

7.  企业的数字业务链中仍然存在严重漏洞；

8.  尽管企业能搜集到很多数据，但很难识别这些数据的实质；而且只有略微过半的企业会去检测自己安全措施的成果；

9.  大多数企业对内部员工造成的安全事件保持沉默，并不会诉诸法律；

10.  记录与监管以及加密技术仍然是企业眼中解决网络安全问题的有效手段。

了解更多报告详情，请戳这里。

*参考来源：CSO，AngelaY 编译整理，转载请注明来自 FreeBuf.COM