CISO调查：2021最大威胁是勒索软件

根据Proofpoint针对英国CISO的最新调查，53%的CISO和CSO报告他们的组织在2020年遭受了至少一次重大网络攻击，其中14%遭受了多次攻击。

2021年这种趋势不会下降，有64%的人表示担心其组织在2021年有遭受攻击的风险。大型企业面临更大的威胁，人员规模超过2500名员工的企业中，89%的CSO和CISO表示担心，而规模超过5,000人的企业中有83%担心受到攻击。但更令人担忧的是，仍然有28%的受访者认为2021年网络攻击不会造成大麻烦。

[[378437]]

勒索软件是最大威胁

根据Risk Based的全球数据泄露事件年度分析，2020年全球数据泄露事件的数量下降了一半，降至不到4,000例，但泄露数据记录的数量增加了一倍以上，同期勒索软件泄露的数据数量也翻了一番，这表明攻击者正在将更多精力放在勒索软件上，而数据泄露(勒索)已经逐渐成为勒索软件的“标准操作”之一。

2021年，随着云计算的快速普及，勒索软件越来越多地将以云存储为目标，以最大程度地发挥影响力并增加杠杆作用以提高利润、扩大企业数据泄露规模和风险。

Proofpoint的调查显示，有46%的CSO/CISO认为勒索软件是未来两年对其业务最大的网络安全威胁。其次是云账户入侵(39%)、内部威胁(33%)和网络钓鱼(30%)。

值得注意的是，只有24%的CSO/CISO认为模拟攻击和商业电子邮件攻击(BEC)是潜在的最大网络威胁。但事实上BEC攻击已经迅速成为全球造成损失最大的网络风险之一(FBI估计三年来BEC造成的损失为265亿美元)，该项调查数据表明许多IT领导者低估了BEC风险。

网络犯罪集团相互协作

虽然勒索软件仍然是企业面临的最大威胁，但是2021年一个不可忽视的重要变化是网络犯罪集团之间的相互协作。

网络犯罪分子最常利用的三种攻击获利方式是BEC、电子邮件账户泄露(EAC)和勒索软件。过去，许多专门从事BEC和EAC的攻击者即使拥有必要的访问权限，也往往不会充当勒索软件的初始访问代理。同样，勒索软件攻击者也不会利用BEC和EAC攻击。但是Proofpoint认为，随着威胁行为者越来越多地协作以进行更有效的攻击并获得更高的利润，这种情况将在2021年发生改变。

例如，我们将看到公司被EAC攻击后，攻击者又将访问权“转售”给另一个组织以实施勒索软件攻击，或者EAC小组提高技能并开始利用市售的勒索软件工具。此外还要注意更高级的BEC和EAC攻击。

人为错误是最大风险

55%的受访CISO/CSO认为，无论采用何种网络安全解决方案，人为错误/网络安全意识淡漠依然是其业务的最大风险。

员工有以下行为最容易导致企业遭受网络攻击：

• 点击恶意链接或下载受感染的文件(43%);
• 成为网络钓鱼电子邮件的受害者(39%);
• 故意泄露数据(35%);
• 未经授权使用设备和应用程序(35%)。

但是，尽管IT领导知道员工可能对其业务构成的风险，但仍有44%的受访者表示他们不知道组织中风险最高的员工是谁。

员工培训和意识是重中之重

改善员工培训和意识是重中之重，但仍然存在障碍。尽管人为错误和缺乏网络安全意识给组织带来了很高的风险，但只有28%的受访企业承认每年进行两次以上的全面安全意识培训活动。

但是，有73%的受访者认为需要改善员工的网络安全意识培训。尽管CISO面临众多挑战，但仍有49%的受访CISO将(安全意识培训)作为2021年的头等大事。

不幸的是，对于许多CSO/CISO来说，这可能是一场艰苦的战斗，因为54%的人认为有限的时间和资源是制定有效安全意识培训计划的障碍，而50%的人认为董事会没有足够重视有效网络安全防护的重要性。

企业仍未做好安全远程工作的准备

在2021年，许多企业正在为其员工寻找长期的远程工作计划。

尽管自新冠病毒大流行开始以来，大多数企业有9个月的计划和准备时间，但仅22%的CISO认为其员工已经具备充分的能力和装备进行远程工作，这表明很多企业为了业务的连续性仓促实施远程办公，导致很多支持工作并未跟上(IT与网络安全、人员培训)。

正如调查数据所反映的，64%的CISO认为他们的组织当前由于远程工作而更容易受到网络威胁。

网络安全预算预期增加

73%的受访CSO/CISO预计其网络安全预算将在未来两年内增加。有25%的人预计他们的预算会增加10%以上。受访CSO/CISO还报告说，在提高员工网络安全意识(49%)之后，投资雇用新人才和提高员工技能是2021年的第二高优先级任务(47%)。

Proofpoint的CISO安德鲁·罗斯指出：“令人鼓舞的是，大多数IT领导者已经意识到他们所面临的风险和挑战。不过，让人担心的是商务电子邮件攻击没有得到应有重视，因为它比勒索软件更普遍，并且仍然能够造成巨大的财务损失。企业将员工安全意识作为优先事项，这是积极的信号，因为定期和全面的安全意识培训对于建立高弹性的安全文化至关重要。以人为本的策略对于组织来说是必须的，首先要确定最脆弱的用户，并确保他们掌握了保护自己和企业的知识和工具。”

参考资料：https://www.proofpoint.com/sites/default/files/white-papers/UK_CISO-REPORT_FINAL.pdf

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文