2023年网络安全成熟度报告揭示网络攻击应对准备不足

仅2022年一年，全球网络攻击数量就增长了38%，造成大量业务损失，其中包括财务和声誉损失。同时，企业安全预算也因日趋复杂的攻击和进入市场的网络安全解决方案数量增加而大幅上涨。在威胁、预算和解决方案日渐增加的当下，各行各业和世界各国该如何有效应对网络风险？

CYE全新出炉的《2023年网络安全成熟度报告》综合分析各个行业、不同公司规模和世界各国的网络安全能力，很好地回答了上述问题。报告揭示了哪些行业和国家具有较坚实的网络态势而哪些有所欠缺，还点出了当今网络威胁形势中最普遍的漏洞。

分析基于该公司两年间从15个国家超500家企业收集到的数据，样本横跨11个不同行业和各类公司规模。CYE衡量了七个不同安全领域的网络安全成熟度，包括应用程序级安全、网络级安全、身份管理和远程访问等等。

主要发现如下：

图1：各国网络安全成熟度水平

发现1：预算更多未必意味着网络安全状况更佳。

各国中，挪威的整体网络安全成熟度水平最高，其次是克罗地亚和日本。这些国家尽管没有像美国、英国和德国等主要国家那样拥有庞大的网络安全预算，但他们的监管体系确实先进。挪威、克罗地亚和日本领跑各国的其他可能原因还包括这些国家采取网络安全措施较早，而且政府和企业统一规划。这一发现表明，大笔财务投入未必能够转化成较高成熟度水平。

图2：各行业网络安全成熟度水平

发现2：科技公司得分处在中游

各个行业中，能源和金融行业的整体网络安全成熟度水平最高，而医疗保健、零售业和政府机构的网络安全成熟度是最低的。令人惊讶的是，科技行业的成熟度得分仅仅处在中游，这可能是因为科技公司必须保护的攻击面通常比其他行业更大。

处在平均线附近的得分也可能是因为科技公司惯于采用新技术，而这些技术可能特别容易遭到攻击和漏洞利用。此外，科技公司的发展壮大通常比其他行业要快得多，这也给维护强大的网络态势增加了麻烦。

发现3：中小企业得分高于大型企业。

出于意料的是，中小企业的网络安全成熟度得分比员工数量超1万人的大型企业更高。这可能是因为小企业需要保护的攻击面更小，保护起来相对容易。至于中型企业，投入网络安全解决方案显然是他们的当务之急。而大型企业需要保护如此庞大的攻击面，明显会影响到他们的网络安全成熟度水平。

发现4：近三分之一的公司缺乏有效的密码策略。

调查发现，32%的公司密码策略薄弱——这个问题很容易解决，但这些公司显然没解决好。此外，23%的企业身份验证机制薄弱。这一点令人很是忧心，因为这两个问题叠加在一起，黑客就能够毫不费力地登入公司。

提高网络安全成熟度的建议

报告的总体结论是，大多数企业并没有为网络攻击威胁做好充分准备。但是，就算没有大笔预算，只要规划支出合理，企业仍然有可能达到高度的网络安全成熟状态。

为保护自身，企业应该投资安全能力而非工具；进行全面评估，防止黑客利用漏洞；并且制定董事会统管的综合网络安全方法。CYE等网络安全优化解决方案可以综合技术、人员和流程来管理组织网络风险和进行网络风险量化，从而了解威胁和安排缓解。

CYE《2023年网络安全成熟度报告》下载
https://cyesec.com/resource-center/cybersecurity-maturity-report-2023?utm_source=HackerNews&utm_medium=PR&utm_campaign=CybersecurityMaturity+report&utm_content=article

参考阅读