The CISOS Report provides insights into the evolving role of the Chief Information Security Officer (CISO) and the challenges they face in protecting their organizations from cyber threats. The study was conducted through a quantitative survey, which was designed with guidance from a Board of CISOs working at private and public organizations. The report covers a range of topics, including the state of affairs, capabilities, concerns, and plans for the next year, as well as zero trust moves, identity as the new perimeter, cloud and API concerns, and what's on the shopping list. The report also includes respondent demographics, information about the sponsors, and a list of the CISO Board of Advisors and research team. Overall, the report provides valuable insights for CISOs looking to benchmark their situation and experience against others, learn from their peers, and validate ideas and obtain solid data to justify investments in cybersecurity.
2 0 2 2年 及 以 后 的 前 景 、 挑 战 和 计 划
TABLE OF CONTENTS
赞助INTRODUCTION方法关键发现详细的发现
5
6
8
TheStateofAairs:今天vs.aYearAgo能力,关注and局限性PlansfortheNextYear+零Trust移动从炒作to现实IdentityastheNew周长云andAPI关注810182022232627What's上the购物名单?不确定性,与更多ofthe相同
29关于我们的赞助商
33CISO顾问委员会
37研究中心团队
INTRODUCTION
首席信息安全官(CISO)的角色已经在过去十年,随着网络威胁的多样化和扩散。随着IT现在不可或缺业务和任务运营的各个方面,CISO在正在进行的战斗,以确保他们的组织免受无休止的攻击。
鉴于攻击面和威胁环境变化的速度有多快,它可以CISO面临着跟上本国境外正在发生的事情的挑战。为了提供帮助,这项研究提供了CISO长期以来一直要求的那种见解-将他们的情况和经验与他人作比较;从他们的同行正在做和计划做;并验证想法并获得可靠的数据来证明在这些领域的投资。
方法
This study used a two - part methodology. First was a quantitative survey that is在私营和公共部门工作的CISO委员会的指导下设计美国、加拿大、欧洲、澳大利亚和亚洲的组织。受访者通过与CISO Connect的直接关系和经过良好筛选的小组招募。我们收到411份来自受访者确认为CISO或CISO -相当广泛的行业部门。所有回复都是匿名的。
此外,我们与董事会成员进行了深入的讨论,以获得关于他们作为CISO捍卫其组织的经验的详细观点猖獗的网络威胁。这些人特别以他们强大的技术而闻名和业务敏锐度。您将发现来自以下方面的见解和最佳实践建议在整个报告中。
关键发现
1.战斗没有缓和。勒索软件、网络钓鱼/鱼叉网络钓鱼和供应链攻击在威胁列表中名列前茅最关注CISO。绝大多数CISO看到威胁形势比一年前更糟糕;75%的人认为fiRM在此期间至少被击中一次,但与five一样多一次造成物质损害的网络攻击。中期-大型组织尤其首当其冲,有67.5%的拥有1, 000至4, 999名员工的组织和62.2%有5, 000至10, 000名员工受到打击造成物质损失的多次攻击。然而,没有组织是安全的免受攻击。
2. CISO认识到当前的局限性。他们感到更加肯定fi他们检测网络攻击的能力,而不是预防或响应他们还在努力量化网络安全领域,从他们计划的投资回报率到整体fi财务风险,甚至是事件的累积影响。
3.供应链脆弱性导致的广泛风险,CISO担心。合作伙伴和供应商是必不可少的所有企业和组织的成功运作types and size, worldwide. However, our respondents report第三方是需要克服的最大安全风险。跟踪不远远落后:未打补丁的软件/系统,云安全方面的差距覆盖范围,以及IT管理员的配置fi配置错误。给定与我们的专家委员会的对话,我们希望看到物联网/IIoT在不久的将来会将此列表向上移动。
4.API和数据发现和分类fi是主要的进一步关注。CISO对最需要的IT组件进行评级作为API的安全性改进(在使用中已经爆炸式增长过去2 - 3年)、云应用(SaaS)和云基础设施(IaaS)。他们认为最需要的安全流程改进包括数据发现和分类fi阳离子、数据备份& recovery和DevSecOps。这些列表反映了IT部门的变化随着戏剧性升级而发生的景观远程工作、云采用、BYOD和不断变化的开发实践。
5.外部影响引起最大的担忧。的影响导致CISO最担心的网络攻击是暴露PII或其他敏感数据,以及关键基础架构的停机时间或基本服务。这些地区中断的后果在组织的墙外有最广泛的影响。对它们的担忧远远超过了诸如fi财务损失之类的内部影响,合规行动或中断的操作。缺乏熟练的安全性人员和太多的数据来管理是什么限制CISO从建立更好的安全防御。
6.零信任是一个东西.忘记炒作周期,CISO表示实施或增强零信任模型是接下来的12个月。近79%的人表示他们已经在实施,另有18%的人正在积极规划。
7.对简化和精简有浓厚的兴趣。The顶级功能和特性CISO正在寻找购买新的安全解决方案易于部署和轻松使用。随后是高fi可靠性警报和分析,以及自动化. These are all capabilities that will help busy CISO and安全团队可以更快地完成更多正确的事情。不是这样重要的是成为单一提供商更广泛平台的一部分。
8.顶级预期安全投资映射到最新趋势。将升级的预计支出与新支出相结合时实现,在顶部出现的安全技术接下来的12个月包括网络/微细分、容器安全和安全服务边缘(SSE)平台。
详细的发现
节目的状态:今天与一年前
我们通过询问受访者如何看待当前的威胁开始了我们的探索与一年前相比。不幸的是,但也许并不令人惊讶,事情没有改善。
与一年前相比,这最好地描述了你对网络的感知水平您的组织当前面临的威胁?
近十分之七的受访者认为现在的威胁形势比
那是一年前。这是一个发人深省的统计数据,尽管这样的看法可能至少是在某种程度上影响了一个组织的最后一次打击时间和由此产生的水平impact. In that case, many respondents would seem to have been hit recently. Just 12%的受访者认为威胁情况有所改善。有可能一年前的勒索软件热可能只降低了一点,导致了这一点感知。或者,人们可能只是被太多勒索软件标题麻木了。
不管怎样,世界现在正卷入一场与一场积极性很高的战斗中-武装的对手准备利用任何机会或分心。乌克兰-Russia confit is certainly have an impact. our data collection beginning just a week在我们进行fiNishing之前,受访者是这表明,conflict正在促使攻击出现显著上升-无论是由于网络战的实际情况,或者寻求利用的机会主义攻击者这种破坏性事件。
同样在过去的一年里,近一半的受访者经历了两次和five次之间的攻击,十分之一的人经历了比five次更多的攻击。只有一个“幸运”的受访者没有受到攻击的实质性损害。再次注意这是向后看的数据,反映了在地缘政治之前的情况。乌克兰的混乱。
在过去的12个月中,您的组织受到了多少次影响造成物质损失的网络攻击?
“I definitely think it ’ s getting更糟糕的是,尤其是地缘政治环境和一切正在进行我们看到了很多战斗将会在网络空间中战斗。"-Christine Vanderpool, IT副总裁战略、架构与安全,佛罗里达水晶公司
“自敌对行动开始以来在乌克兰,我看到一个Signifi不能在探测中上升。似乎有一个伟大的处理上的bot活动互联网正在寻找。"-Jorge Llano博士,CSO,纽约市房屋管理局
中型组织仍然是最富有成果的威胁行为者的目标,我们也通过我们的2021年勒索软件聚焦报告的研究。当然任何组织都不应将自己视为Signifi不足以保证攻击.然而,专注于中端可能是因为较小组织吸引攻击者的贵重物品较少,而最大的组织有更高的安全性防御以保证他们的安全。
从风险最大的行业来看,建筑和制造业表现最差,分别有85%和79%经历过至少一次攻击这造成了物质损害。这些部门在历史上没有得到很好的保护,这种区别似乎还在继续。零售业紧随其后,网上购物环境尤其适合攻击。虽然不是最困难的受到打击,受到严格监管的医疗保健(65.1%)和金融服务(63.6%)部门仍然面临着巨大的威胁环境。
当我们查看跨地理区域的数据时,这些数字反映了一般的IT已经持续了几十年的成熟度曲线。北美在某种程度上更好形状,遭受的破坏性攻击比欧洲组织少22.5%,而且比亚洲太平洋fic同行低17.9%。
“你可以购买最好的工具,并完美地部署它们,但你仍然可能受到攻击。所以你必须做好准备。你必须把你的灾难恢复写得很好。您的业务连续性计划非常非常重要。您必须进行桌面练习”-Christine Vanderpool,佛罗里达水晶公司IT战略、架构与安全副总裁
能力、关注和限制
我们要求受访者对他们的实力进行自我评估-也许没有那么强-当涉及到应对网络攻击时。可以理解的是,预防考虑到威胁的数量和不断演变,费率最低(5个中的3.66个)。如何一个组织认为它可能追踪的改进防御的空间很大它最近的攻击经验造成了物质损失,以及他们看到的威胁穿透了他们的防御。
检测攻击更具挑战性,因为要知道你没有
detect unless and until it manifests into something harful. While respondents rate他们在这一领域的能力最高(3.88),这可能稍微高估了他们的实际表现。响应和恢复是最有洞察力、最理解的地方和控制是可能的。然而令人惊讶的是,CISO在这里评价他们的能力几乎相等(3.68)预防。大多数CISO应该已经具有业务连续性和灾难恢复计划准备就绪;去年勒索软件攻击的激增可能是出于动机组织加强其准备和响应/恢复能力。然而,CISO显然,他们在这方面还有很长的路要走。
“随着物联网的到来,越来越多的设备即将到来,将会有更多的感谢到5G。攻击面正在增加。人们在任何地方插入任何东西。”-CISO,大型制造公司
“我们看到的是,威胁参与者已经想出了一种方法来触发所有你的环境。如果你把所有这些链接在一起,你会发现你有恶意activity. Now, as we look at it as a blue team or red team exercise, we look at all of the lower - level正在发生的活动警报,看看我们是否可以解释它是未经授权的还是恶意的。—Les McCollum,芝加哥大学医学中心执行董事兼信息安全首席执行官
量化网络安全投资的回报仍然是一个变幻莫测的衡量标准没有发生的事情的成本是一个长期存在的CISO挑战。因素分析信息风险(FAIR)方法是标准化信息安全和操作风险的国际模型。也有更大的保险精算师试图量化他们所涵盖的内容的参与(或否认)。尽管如此,我们还远远没有一个共同的、可以接受的衡量标准。
受访者评价他们量化事件累积fi财务影响的能力作为三种能力中最高的,但这仍然只是3.33的评级5.当所有的说和做了一个特定的事件,数字可以计算,假设组织足够关心在数学上投资。
CISO的工作最终取决于保持组织的网络安全,可能是对这个数字不太感兴趣-或者相反,可以将其视为证明未来的额外预算。
“数字化转型的复杂性给我们带来了如此扩大的威胁我们无法预测所有的威胁。因此,我们正在采取基于风险的我们的网络战略方法,着眼于内部、外部和运营风险。“—Les McCollum,芝加哥大学医学中心执行董事兼信息安全首席执行官
“你可以购买最好的工具,并完美地部署它们,但你仍然可能受到攻击。所以你必须做好准备。你必须把你的灾难恢复写得很好。您的业务连续性计划非常非常重要。您必须进行桌面练习”-Christine Vanderpool,佛罗里达水晶公司IT战略、架构与安全副总裁
关于网络攻击的哪些影响引起了最大的关注,暴露于敏感数据领先,65%的受访者表示这是他们最关心的问题。这勒索软件攻击的令人不安的趋势加剧了这种情况攻击者窃取数据并威胁要暴露它,即使在支付赎金后关键服务排在第二位(57.6%),因为影响将延伸到客户和其他人依赖于这些服务。然而,有趣的是,生产力损失,这将是停机时间(以及其他因素)的内部后果,排在最后(19.7%)。这可能是因为内部
