根据自动化安全验证公司Pentera的报告显示,资金充足的网络安全系统一样无法保护美国和欧洲的企业免受网络攻击。
该报告对300名首席安全官、首席信息官和安全主管进行了调查,了解了他们当前的安全预算以及网络安全验证的实践情况。同时报告还指出,经济下行的背景对安全预算的影响并不大。
Pentera首席营销官阿维夫·科恩(Aviv Cohen)在新闻稿中表示:“越来越多的组织加快了渗透测试的节奏,但他们真正需要实现的是整个组织的持续验证。安全团队不能依赖于年度渗透测试评估,这样就会看不清一年里其他大部分时间的安全状况,安全团队需要使用自动化解决方案进行安全验证,以适时关注组织的安全程度。”
调查发现,平均每家公司都部署了近44个安全解决方案,这表明大多数企业较为重视纵深防御,他们会分层多个安全解决方案,以最大限度地保护关键资产。然而,尽管采取了大量的安全措施,仍有88%的受访者表明自己的组织在过去两年内发生过安全事件。
Forrester分析师埃里克·诺斯特(Erik Nost)表示:“纵深防御不仅仅只是预防,发现和应对攻击也是战略的一部分。而事实上,这些纵深防御策略很可能是‘降低攻击发现’的罪魁祸首。其次,大多数组织拥有庞大的攻击面,其中有一些还是组织所不知道的,而评估攻击面的漏洞可能需要很长时间,在这段时间里就有可能错过某些攻击发现,然后就需要决定优先级或花时间补救。”
报告指出,世界整体经济放缓可能不会影响2023年的网络安全预算,根据调查,92%的组织已经增加了安全预算,85%的组织增加了渗透测试预算。
Pentera客户运营副总裁陈特内在一份新闻稿中表示:“CISO接下去要更重视整个安全堆栈的验证,我很高兴看到大多数安全团队都已获得了所需的预算。”
报告称,尽管最初的渗透测试需求是由监管要求推动的,但进行渗透测试的主要原因是源于安全验证、对潜在损害评估和网络安全保险。
报告指出,只有22%的受访者认为合规性是他们进行渗透测试的主要原因,这表明监管并不是这种渗透测试的主要驱动力。
科恩说:“在2020年的调查中,CISO们会认为监管合规是安全最大的驱动力,但今天这说法已经跌至谷底了。这是一个积极的转变,表明安全管理人员并不依赖法规,每天只在等待法规给出指示,而是选择了主动采取行动。”
疫情导致了网络攻击激增,网络安全保险政策成为了渗透测试另一个重要的驱动因素,36%的受访者认为这是他们进行渗透测试的主要原因,这与2020年的调查结果形成了对比,当初只有2%的人认为网络安全保险是他们进行渗透测试的首要驱动力。
诺斯特说:“部分组织需要监管机构的推动,才愿意做出改变,但随着安全解决方案、技术和威胁的发展,监管要求已跟不上变化的步伐,所以企业需要自己跟进安全趋势。”
报告发现,82%的公司已经做过渗透测试,然而这种测试的主要问题在于会对业务连续性造成障碍。一些没有进行渗透测试的公司在考虑增加测试的频率,只不过业务连续性的风险需要被他们更多防范。
45%已经进行过渗透测试的受访者表示,业务应用程序或网络可用性的风险使他们无法增加测试频率,而另有56%的受访者表示,自己从未使用过渗透测试。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...