2024年首席信息安全官报告

2024 CISO 的声音 全球对首席信息安全官（CISO）挑战、期望和优先事项的洞察 proofpoint.com 目录 3913162021引言数据保护与内部威胁网络现实：2024年CISO面临的挑战加强董事会与首席信息安全官的关系结论方法学18故事继续……对首席信息安全官（CISOs）的不懈压力4高度关注但信心增长7人为错误：持续的脆弱性 2024： navigating the cybersecurity maelstrom CISOs近年来面临诸多挑战：全球大流行、大规模远程工作和员工流动率的创纪录水平。从外界看来，与过去12个月相比，可能有人会认为当前的情况相对平静。 但对于陷入漩涡中的首席信息安全官（CISOs）而言，这一年是完美风暴达到顶峰的一年。 得益于混合工作模式成为标准以及云计算的日益依赖，攻击面从未如此之大。网络威胁比以往任何时候都更加有针对性、复杂和频繁。同时，员工越来越移动化——在更换工作时，他们经常携带数据。 尽管生成式人工智能（AI）工具前景广阔，但它们也降低了网络犯罪分子的入门门槛。现在，任何人只要有少量资金，就能发起破坏性的攻击。 当然，首席信息安全官（CISOs）与关键利益相关者、董事会成员和监管机构之间的关系日益紧密。但这种亲近性也带来了更高的风险、更大的压力和更高的期望。在预算持平或减少的情况下，CISOs必须尽力以更少的资源做更多的事情。在这种资源紧张和快速变化的环境中，有时候采取捷径是必要的。但它们可能导致人为错误。 为了更好地了解CISO如何在又一个高压年份中应对，Proofpoint对全球1,600名CISO进行了调查。我们询问了他们的角色、对未来两年的展望以及他们认为自己的责任是如何演变的。为了深入了解复杂的网络安全实践，今年的CISO之声调查仅针对拥有1,000名或更多员工的组织。 在本文中，我们探讨了关注与信心之间的微妙平衡，因为众多因素的结合加剧了对首席信息官（CISO）的压力。 我们了解到我们的员工继续使我们面临风险，以及组织正在采取哪些措施来加强以人为本的防御。我们还深入探讨了CISO的内心世界，探讨了倦怠、个人责任和董事会关系等具有挑战性的话题。 最后，我们展望未来几年，以更好地了解我们在网络安全前景中可以期待什么。 正如往常一样，这份报告若没有来自全球网络安全和信息安全管理专业人士的见解是不可能完成的。我们对您的时间和反馈表示衷心的感谢。 帕特里克·乔伊斯，Proofpoint全球首席信息安全官 高度关注但信心增长 70% CISOs正面临一系列令人头痛的挑战：随着疫情逐渐淡出人们的视野，网络安全关注度下降；持续努力确保远程和混合工作团队的网络安全；劳动力的极大波动，员工在巨大离职潮、技术裁员和持续的商业重组中挣扎；以及难以察觉但易于执行的威胁的兴起。 CISOs中有超过一半的人感觉在未来12个月内面临重大网络攻击的风险。其中31%的人认为这种风险非常可能。 无论原因如何，一点很明确：CISOs正紧张地眺望着远方。 超过三分之二（70%) 被调查者中感到在未来12个月内面临重大网络攻击风险的占多数。这个数字仅略有上升。68%去年。但与48%在2022年感到如此担忧的受访者中，今天的首席信息安全官（CISO）显然仍处于高度警惕状态。 那不到三分之一（31%）感觉一次重大攻击“非常可能”进一步凸显了首席信息安全官（CISO）群体的集体焦虑，与25%2023年。 CISOs (70%括号和董事会成员（）73%)双方均认为在未来12个月内发生重大网络攻击的可能性很大。 韩国首席信息安全官（CISOs）91%（），加拿大（）90%)，以及美国（87%您最关心的是遭受严重的网络攻击。 教育（86%），运输（ ）77%),以及零售、医疗保健和公共部门（所有74%）在各个行业领域引领网络安全攻击担忧趋势。 巴西的首席信息安全官（CISOs）最为乐观，仅有45%担心遭到攻击。 意识与准备 43% 关于网络攻击可能性的担忧日益加剧，这似乎是坏消息。然而，大多数CISO意识到他们面临潜在风险，这令人鼓舞。 CISOs中有相当一部分人认为，到2024年，他们的组织尚未做好准备应对有针对性的网络攻击。 简单来说，CISOs 有理由感到担忧；随着网络犯罪分子不断完善他们的策略，针对我们的人员，并在攻击链中工作以实现最大影响。 我们审视安全准备情况时，也有更多的空间进行积极思考。不到一半（43%CISOs中有)同意，他们所在的组织在2024年应对有针对性的网络攻击方面准备不足。这相比于2023年有所改善（。61%）和2022（50%). 但是，虽然更多CISO感觉为即将到来的挑战做好了准备，我们也不能忽视那些没有这种感受的人。 That70%感到面临网络攻击的风险，但近一半人感觉对于其影响缺乏准备，这令人担忧。这再次凸显了网络安全意识与准备之间的坚定不移的脱节。 CISO对威胁格局的看法 什么让CISO们在夜晚无法入睡？不出所料，41%将勒索软件视为未来12个月内的主要威胁。恶意软件（38%), 邮件欺诈 (36%), 云账户泄露 (34%), 内部威胁（ ）30%),并且分布式拒绝服务攻击（DDoS attacks）30%) 补充成为前五项关注的议题。 这些问题——电子邮件欺诈、内部威胁、DDoS攻击和云账户泄露——仍然在上一年度的清单上。勒索软件升至榜单首位是一个有趣的变化，尽管在2023年和2024年初高调攻击的发生或许并不令人意外。 攻击者通过双倍和三倍勒索威胁以及成熟的勒索软件生态系统大幅提高了赌注。这就是为什么首席信息安全官（CISOs）必须寻找机会在攻击链的每个阶段破坏攻击——从初始妥协到横向移动和权限提升，再到数据泄露。 另一方面，董事会似乎越来越能接受首席信息安全管理员的关注。两者似乎都非常一致；董事会成员认为恶意软件、内部威胁、云端账户被侵犯以及勒索软件是他们组织面临的最大网络安全威胁。 恶意软件威胁在意大利引领潮流（53%), 巴西 (46%), 以及 新加坡 (45%). 勒索软件是日本首席信息安全官（CISO）们首要关注的问题（）。64%), 英国 (51%),瑞典 (49%), 和荷兰（49%). 在行业中，制造业和生产（54%)，零售（46%), 和 医疗保健 (43%所有人均同意，在未来12个月内，勒索软件将是最大的威胁。 电子邮件欺诈自2021年首次发布CISO之声报告以来一直是三大关注点之一。今年，它在沙特阿拉伯的CISO中引起了最广泛关注（。50%), 澳大利亚 (46%德国（），德国（）46%（），加拿大（）42%荷兰（），荷兰（）42%)，日本（42%). 电子邮件欺诈被视为以下行业在未来12个月内面临的最大威胁：公共部门（61%），运输（ ）58%)，以及金融服务（41%). “在当前不断演变的威胁景观中，首席信息安全官（CISOs）正在应对疫情带来的后果，适应混合工作模式的新常态，并应对科技行业巨变。在这些变革时期，复杂网络威胁的出现，利用人类脆弱性和系统漏洞，是不可避免的。虽然网络攻击发生的可能性增加可能会令人感到警觉，但令人欣慰的是，CISOs对潜在风险有着高度的认识和准备。CISOs所持有的担忧是对其警觉性的证明；认识到网络罪犯正在不断磨练他们的策略，以利用我们安全链条中的每一个环节。” 副董事长兼首席信息安全官，Cox Enterprises布莱恩·考克斯， 人为错误：持续的脆弱性 正如对即将来临的网络安全攻击的担忧日益加剧，对于顶级风险因素的共识也同样增加：人是风险因素。在内部威胁和数据泄露问题日益严重的这一年里，比以往任何时候更多的首席信息安全官将人为错误视为他们最大的网络安全弱点。 74%CISOs认为人为错误是他们组织最大的网络漏洞。 几乎四分之三（74%) 被调查的首席信息安全官中有这种感觉，比例上升60% 2023 年及56%2022年。董事会成员并不那么确信。略少于三分之二（63%我同意人类错误是最大的弱点，这表明CISO们还有更多工作要做，以使董事会跟上步伐。 CISOs（首席信息安全官）的数量甚至更多。80%）将人为风险，包括员工疏忽，视为未来两年关键的网络安全关注点。这一比例有所上升。63%2023年。这种情绪在法国最为强烈（91%（），加拿大（）90%), 西班牙(86%)，韩国（85%),和新加坡（84%). 沙特阿拉伯的CISOs（首席信息安全官）84%（），加拿大（）83%), 以及 法国 (82%）最担心的是人为错误成为其组织最大的网络安全漏洞。 CISOs似乎明白，鉴于大多数成功的网络攻击都需要人为互动，数据丢失本质上是个人问题。然而，86%相信他们的员工了解他们在捍卫组织中的作用；近一半（45%非常同意。 换句话说，CISOs认为他们的人知道对他们有什么要求，但仍感到他们面临巨大的风险。其含义是：用户明白对他们有什么期望，但缺乏保护他们组织数据所需的技能、知识和工具。 教育领域的CISO们：89%), 媒体、休闲与娱乐 (85%)，以及公共部门（78%我相信人类错误是他们组织中最大的网络漏洞。 保护免受人力资源问题的困扰 87% 为了减轻这一人类脆弱性领域，许多首席信息安全官正在转向人工智能技术。在受调查者中，87%正在寻求部署此类工具以防止人为错误并阻止针对以人为中心的先进网络威胁。 全球CISO中有相当一部分正在寻求部署AI驱动的功能，以帮助他们的组织防止人为错误和高级以人为中心的网络威胁。 这在所有调查的行业中都适用，零售（81%),信息技术、技术和电信行业(89%),和教育 （88%) 领先潮流。 “随着数字格局的演变，首席信息安全官（CISOs）在网络安全等式中一致指出一个不变因素：人为因素。尽管认识到内部威胁和意外数据误操作正在上升，但大家普遍认为员工意识到他们的网络安全责任。然而，人们也认识到一个关键差距——了解并不总是等于能力。为了弥合这一差距，首席信息安全官们越来越多地寻求以AI驱动技术作为盟友，以强化人类防御高级网络威胁。” 马丁·巴利 副总裁兼首席信息安全官，坎贝尔汤料公司 数据保护与内部威胁 对风险水平和风险因素的认识不断提高，似乎在过去12个月内转化为更严格的安全措施。今年，不到一半（46%全球CISOs中有)报告了敏感信息的重大损失——较之前有所下降。63%去年。 77%去年，在韩国的组织中有最高调查国家中的最大比率处理了关键数据丢失问题。 尽管如此，有几个国家的成绩远高于全球平均水平。超过三分之二（77%) 韩国超过 50% 的首席信息安全官报告了敏感数据丢失，其次是61%在加拿大，58%在法国，并且57%在德国。 关于行业，教育（68%)，金融服务（54%), 以及媒体、休闲和娱乐（54%)在该年报告中最受敏感数据丢失事件的影响。 至于这些事件背后的原因，许多熟悉的面孔出现在了舞台上。在经历了敏感数据丢失的CISO中，42%将责任归咎于疏忽的内部人员/粗心的员工。其他常见因素包括外部攻击（40%) 以及恶意或犯罪内部人员 (36%). 员工也可能对列表中的许多更多因素负有责任，从系统配置错误（27%) 到丢失或被盗设备（28%). 恶意或犯罪内部人员是数据泄露的第三大原因，排在外部攻击（网络犯罪或国家支持）之后。在澳大利亚，他们是首要因素（）。49%)，阿联酋（ ）44%德国（），德国（）44%), 以及 法国 (38%) 人为因素逐年上升，成为数据丢失的主要原因。难怪人们仍然是全球CISO们关注的焦点。 95% 为了进一步阐述这一点，人们持续在其他地方造成数据丢失。近四分之三（73%) CISOs 表示，离职员工在数据泄露事件中起到了作用。 教育领域的CISO中有数据在员工离职时丢失。医疗保健（89%）、媒体、休闲和娱乐（88%）、金融服务（83%）和运输（80%）位列前五。 随着2023年底许多国家