信息化觀察網(wǎng)

根據(jù)Proofpoint針對英國CISO的最新調(diào)查，53％的CISO和CSO報(bào)告他們的組織在2020年遭受了至少一次重大網(wǎng)絡(luò)攻擊，其中14％遭受了多次攻擊。

2021年這種趨勢不會下降，有64％的人表示擔(dān)心其組織在2021年有遭受攻擊的風(fēng)險。大型企業(yè)面臨更大的威脅，人員規(guī)模超過2500名員工的企業(yè)中，89%的CSO和CISO表示擔(dān)心，而規(guī)模超過5,000人的企業(yè)中有83％擔(dān)心受到攻擊。但更令人擔(dān)憂的是，仍然有28％的受訪者認(rèn)為2021年網(wǎng)絡(luò)攻擊不會造成大麻煩。

勒索軟件是最大威脅

根據(jù)Risk Based的全球數(shù)據(jù)泄露事件年度分析，2020年全球數(shù)據(jù)泄露事件的數(shù)量下降了一半，降至不到4,000例，但泄露數(shù)據(jù)記錄的數(shù)量增加了一倍以上，同期勒索軟件泄露的數(shù)據(jù)數(shù)量也翻了一番，這表明攻擊者正在將更多精力放在勒索軟件上，而數(shù)據(jù)泄露（勒索）已經(jīng)逐漸成為勒索軟件的“標(biāo)準(zhǔn)操作”之一。

2021年，隨著云計(jì)算的快速普及，勒索軟件越來越多地將以云存儲為目標(biāo)，以最大程度地發(fā)揮影響力并增加杠桿作用以提高利潤、擴(kuò)大企業(yè)數(shù)據(jù)泄露規(guī)模和風(fēng)險。

Proofpoint的調(diào)查顯示，有46％的CSO/CISO認(rèn)為勒索軟件是未來兩年對其業(yè)務(wù)最大的網(wǎng)絡(luò)安全威脅。其次是云賬戶入侵（39％）、內(nèi)部威脅（33％）和網(wǎng)絡(luò)釣魚（30％）。

值得注意的是，只有24％的CSO/CISO認(rèn)為模擬攻擊和商業(yè)電子郵件攻擊（BEC）是潛在的最大網(wǎng)絡(luò)威脅。但事實(shí)上BEC攻擊已經(jīng)迅速成為全球造成損失最大的網(wǎng)絡(luò)風(fēng)險之一（FBI估計(jì)三年來BEC造成的損失為265億美元），該項(xiàng)調(diào)查數(shù)據(jù)表明許多IT領(lǐng)導(dǎo)者低估了BEC風(fēng)險。

網(wǎng)絡(luò)犯罪集團(tuán)相互協(xié)作

雖然勒索軟件仍然是企業(yè)面臨的最大威脅，但是2021年一個不可忽視的重要變化是網(wǎng)絡(luò)犯罪集團(tuán)之間的相互協(xié)作。

網(wǎng)絡(luò)犯罪分子最常利用的三種攻擊獲利方式是BEC、電子郵件賬戶泄露（EAC）和勒索軟件。過去，許多專門從事BEC和EAC的攻擊者即使擁有必要的訪問權(quán)限，也往往不會充當(dāng)勒索軟件的初始訪問代理。同樣，勒索軟件攻擊者也不會利用BEC和EAC攻擊。但是Proofpoint認(rèn)為，隨著威脅行為者越來越多地協(xié)作以進(jìn)行更有效的攻擊并獲得更高的利潤，這種情況將在2021年發(fā)生改變。

例如，我們將看到公司被EAC攻擊后，攻擊者又將訪問權(quán)“轉(zhuǎn)售”給另一個組織以實(shí)施勒索軟件攻擊，或者EAC小組提高技能并開始利用市售的勒索軟件工具。此外還要注意更高級的BEC和EAC攻擊。

人為錯誤是最大風(fēng)險

55％的受訪CISO/CSO認(rèn)為，無論采用何種網(wǎng)絡(luò)安全解決方案，人為錯誤/網(wǎng)絡(luò)安全意識淡漠依然是其業(yè)務(wù)的最大風(fēng)險。

員工有以下行為最容易導(dǎo)致企業(yè)遭受網(wǎng)絡(luò)攻擊：

點(diǎn)擊惡意鏈接或下載受感染的文件（43％）；

成為網(wǎng)絡(luò)釣魚電子郵件的受害者（39％）；

故意泄露數(shù)據(jù)（35％）；

未經(jīng)授權(quán)使用設(shè)備和應(yīng)用程序（35％）。

但是，盡管IT領(lǐng)導(dǎo)知道員工可能對其業(yè)務(wù)構(gòu)成的風(fēng)險，但仍有44％的受訪者表示他們不知道組織中風(fēng)險最高的員工是誰。

員工培訓(xùn)和意識是重中之重

改善員工培訓(xùn)和意識是重中之重，但仍然存在障礙。盡管人為錯誤和缺乏網(wǎng)絡(luò)安全意識給組織帶來了很高的風(fēng)險，但只有28％的受訪企業(yè)承認(rèn)每年進(jìn)行兩次以上的全面安全意識培訓(xùn)活動。

但是，有73％的受訪者認(rèn)為需要改善員工的網(wǎng)絡(luò)安全意識培訓(xùn)。盡管CISO面臨眾多挑戰(zhàn)，但仍有49％的受訪CISO將（安全意識培訓(xùn)）作為2021年的頭等大事。

不幸的是，對于許多CSO/CISO來說，這可能是一場艱苦的戰(zhàn)斗，因?yàn)?4％的人認(rèn)為有限的時間和資源是制定有效安全意識培訓(xùn)計(jì)劃的障礙，而50％的人認(rèn)為董事會沒有足夠重視有效網(wǎng)絡(luò)安全防護(hù)的重要性。

企業(yè)仍未做好安全遠(yuǎn)程工作的準(zhǔn)備

在2021年，許多企業(yè)正在為其員工尋找長期的遠(yuǎn)程工作計(jì)劃。

盡管自新冠病毒大流行開始以來，大多數(shù)企業(yè)有9個月的計(jì)劃和準(zhǔn)備時間，但僅22％的CISO認(rèn)為其員工已經(jīng)具備充分的能力和裝備進(jìn)行遠(yuǎn)程工作，這表明很多企業(yè)為了業(yè)務(wù)的連續(xù)性倉促實(shí)施遠(yuǎn)程辦公，導(dǎo)致很多支持工作并未跟上（IT與網(wǎng)絡(luò)安全、人員培訓(xùn)）。

正如調(diào)查數(shù)據(jù)所反映的，64％的CISO認(rèn)為他們的組織當(dāng)前由于遠(yuǎn)程工作而更容易受到網(wǎng)絡(luò)威脅。

網(wǎng)絡(luò)安全預(yù)算預(yù)期增加

73％的受訪CSO/CISO預(yù)計(jì)其網(wǎng)絡(luò)安全預(yù)算將在未來兩年內(nèi)增加。有25％的人預(yù)計(jì)他們的預(yù)算會增加10％以上。受訪CSO/CISO還報(bào)告說，在提高員工網(wǎng)絡(luò)安全意識（49％）之后，投資雇用新人才和提高員工技能是2021年的第二高優(yōu)先級任務(wù)（47％）。

Proofpoint的CISO安德魯·羅斯指出：“令人鼓舞的是，大多數(shù)IT領(lǐng)導(dǎo)者已經(jīng)意識到他們所面臨的風(fēng)險和挑戰(zhàn)。不過，讓人擔(dān)心的是商務(wù)電子郵件攻擊沒有得到應(yīng)有重視，因?yàn)樗壤账鬈浖毡椋⑶胰匀荒軌蛟斐删薮蟮呢?cái)務(wù)損失。企業(yè)將員工安全意識作為優(yōu)先事項(xiàng)，這是積極的信號，因?yàn)槎ㄆ诤腿娴陌踩庾R培訓(xùn)對于建立高彈性的安全文化至關(guān)重要。以人為本的策略對于組織來說是必須的，首先要確定最脆弱的用戶，并確保他們掌握了保護(hù)自己和企業(yè)的知識和工具。”