完善网络风险防范 保障未来发展：亚太地区网络安全形势调查报告

目录 356891112141516内容摘要方法数据泄露让组织不堪重负AI 正在改变威胁格局应对勒索软件攻击的方法不断演变网络安全团队被要求承担更多责任更多的解决方案并不能使组织更安全Zero Trust 解决方案对网络安全至关重要监管加码成为核心问题建议 内容摘要 经济损失、预算压力、保障业务转型技术安全的责任、管理日益增多的 IT 供应商和解决方案，加上类似 AI 驱动的攻击的新兴风险，这些因素的综合作用下，推动各种组织陷入一场复杂性危机。 作为 Cloudflare 的首席安全官，我有幸能与来自各行各业的首席安全官、CEO 和董事会成员进行交流。我们的讨论中总是会提到一个问题：“我们安全吗？” 事实上，86% 的受访者表示，复杂性正使他们的组织更容易受到攻击。这种复杂性在调查结果中得到证明：49% 的受访者已经部署了 20 种以上的安全工具，82% 的受访者仅在今年就增加了更多的供应商和工具。 这是一个简单却几乎无法回答的问题。一种方法是将网络安全比作个人健康。某人今天可能健康，但明天可能变得不健康。同样地，一家公司的网络安全今天可能没有受到威胁，但明天可能就不一样了。 要有效解决复杂性，就需要做出改变。 从这些讨论中也清晰显示，同样类型的网络安全问题持续影响着该地区许多组织的运营“健康”。自我们首次发布“亚太地区网络安全形势调查报告”以来已经过去一年，我们的最新研究结果显示，在 3844 名受访者中，有 41% 在 2023 年至 2024 年间经历过一次数据泄露事件，76% 受访者表示他们的公司在同一时期经历的数据泄露事件次数有所增加。代表 IT 和技术、媒体和电信、零售和金融服务行业的受访者报告过去 12 个月中遭受的攻击次数增加最多。 首先，企业需要在 AI 方面加倍投入，否则就有可能被淘汰。87% 的受访者表示，AI 要么被用来增加对其组织的攻击次数，要么使攻击变得更加复杂。然而，只有 28% 的受访者认为他们在缓解 AI 攻击方面做好了充分准备。虽然 AI 引发了新的网络相关威胁，但它也是业务转型、生产力和增长的关键驱动力。各组织必须从现在开始着眼未来，列出新兴 AI 技术可在未来给其网络安全策略带来的潜在优势。 其次，实现运营韧性对任何组织的成功都至关重要，而且这是与强大的网络安全计划相辅相成的。在监管机构制定任何强制要求之前，就必须将韧性充分融入网络安全策略中。近期的全球网络安全事件凸显了，缺乏现代化、具有韧性的基础设施，或者深思熟虑的危机应对计划，企业将可能面临怎样的挑战。 雪上加霜的是，认为已经做好抵御网络攻击准备的受访者比例减少了 29%。这个前景令人担忧，尤其是 51% 的受访者表示，数据泄露造成的财务损失超过 100 万美元。 最后，重要的是立即行动以消除复杂性。近 90% 的受访者表示复杂性正使他们的组织更容易受到攻击，因此迫切需要采取行动。整合安全和技术栈，精简流程并现代化 IT 架构，转移资源以确保业务成果，并开始改造网络员工队伍，以便支持部署基于 AI 的解决方案。我们将以这样的方式改变本行业过去 20 年中所面临的历史结果。 我希望这份报告能帮助各组织的 CISO 及其团队应对未来 12 个月的挑战，并提供如何抓住新机遇的指引。从这份报告中获得的见解应该能够帮助 CISO 识别在应对网络安全栈复杂性时的障碍，以便可以更明智地决定如何应对 AI 驱动的威胁和机遇，战略性地重新调整资源以克服人才限制，并研究出如何最好地应对错综复杂的监管环境。要防范日益复杂的攻击并确保组织安全，还有大量工作要做。因此，从身居类似岗位的其他人那里获得的经验可能会为您提供急需的灵感，帮助您做好充分准备以应对那个至关重要的问题：“我们安全吗？” 此致！ Grant Bourzikas 高级副总裁兼首席安全官 方法 该报告基于 2024 年 6 月进行的一项双盲调查的结果，该调查涉及 3844 名负责各自组织网络安全的领导者，包括高管层、安全领导、安全管理，以及网络安全技术领导。 受访者来自亚太地区的 14 个市场：澳大利亚、中国、香港特别行政区、印度、印度尼西亚、日本、马来西亚、新西兰、菲律宾、新加坡、韩国、台湾地区、泰国和越南。 今年的调查聚焦于亚太地区企业面临的网络安全挑战，受访者所在组织规模不少于 250 名员工，并更侧重于大型组织。来自小型组织（250-999 名员工）的受访者占样本的 18%，而来自中型和大型组织的受访者分别占参与者的 27% 和 55%。 数据泄露让组织不堪重负 自我们上一份报告以来已经过去了 12 个月，亚太地区的网络安全领导者继续努力应对复杂的威胁形势。68% 的受访者表示在过去 12 个月内经历了网络安全事件，今年的报告更深入探讨了这些事件是如何发展的。我们的研究显示，在经历过网络安全事件的受访者中，61% 遭遇了数据泄露1。 在过去一年经历过数据泄露的受访者中，76% 表示数据泄露的频率有所增加。58% 认为未来 12 个月内会看到更高的数字。此外，70% 的受访者在过去一年中经历了一次数据泄露，或者认为他们将在未来一年内可能会成为受害者。来自越南 (86%)、印度 (82%)、马来西亚 (80%) 和新加坡 (80%) 的受访者表示过去 12 个月内数据泄露有明显增加。 1.数据泄露是指攻击者未经授权访问组织的应用、数据和网络的事件，这些事件是可能危及到系统完整性的行为。 许多存在暴露漏洞的组织在能够堵住防御漏洞之前反复受到攻击。47% 的受访者表示，他们的组织在本次研究前的 12 个月内经历了 10 次以上的数据泄露。攻击者似乎特别关注大型组织。过去一年中最有可能经历 10 次或更多数据泄露的组织来自建筑和房地产、旅游和酒店以及金融服务行业。 51% 的受访者报告数据泄露造成的总损失超过 100 万美元，其中 27% 的受访者报告损失超过 200 万美元。财务损失绝不是受影响组织面临的唯一影响。对于经历过数据丢失的组织而言，客户数据最常成为攻击目标，67% 的受访者表示此类数据被盗。同样，用户访问凭据 (58%) 和财务数据 (55%) 也经常被盗。 对于那些遭受数据泄露的组织，产生的财务损失还包括网络安全保险单不涵盖的额外费用，以及保费同比上涨的财务负担。中型组织（可能没有购置稳健的保单）也成为了复杂攻击的目标，往往承担了大部分额外开支。 Web 攻击、恶意软件（病毒、蠕虫、特洛伊木马等）和网络钓鱼继续成为过去一年中导致数据泄露的最常见攻击手段。 几乎所有 (92%) 组织在遭受数据泄露后都面临着进一步的业务影响，主要包括监管行动 (26%)、利用数据的进一步攻击 (17%)和声誉损害 (16%)。 根据Cloudflare 第二季度 DDoS 威胁报告，分布式拒绝服务(DDoS) 攻击同比增长了 20% ，达到 400 万次，其中 55% 是第 3/4 层 DDoS 攻击。我们的数据反映了这一现状，67% 的受访者表示，他们的组织曾遭受过 DDoS 攻击。其中大多数攻击是第 4 层 (47%) 或第 3 层 (41%)，API 或第 7 层攻击分别仅占攻击数目的 26% 和 18%。DDoS 攻击的主要影响是财务损失(55%) 和服务中断 (54%)。 57% 49% 另一个可能让许多 IT 领导者担忧的因素是响应时间。76% 的受访者表示，他们的组织平均需要超过 12 小时才能识别数据泄露，而 74% 的组织需要超过半天的时间来控制事件。 44% 因此，不足为奇的是，只有 27% 的受访者目前认为他们的组织做好了预防数据泄露的充分准备。 35% 33% AI 正在改变威胁格局 近年来，人工智能 (AI) 在各行各业的讨论中占据了主导地位。然而，在网络安全领域，我们的受访者表达了一种以负面为主的看法，87% 的受访者认为 AI 要么导致攻击更频繁，要么使攻击者变得更高明。 展望未来，我们的受访者认为，随着威胁行为者研究如何更有效地使用 AI 技术，来自 AI 的威胁将会增加。具体而言，50% 的受访者预计 AI 将被用于破解密码或加密代码。此外，47% 的受访者认为它将增强网络钓鱼攻击和社会工程学技术，44% 的受访者认为 AI 将促进 DDoS 攻击的发展。最后，40% 的受访者认为 AI 将在制造深度伪造和促进隐私泄露方面发挥作用。 尽管普遍担心 AI 对网络安全的影响，但对于跟上威胁步伐的信心却很高，83% 的受访者表示，他们的网络安全团队能够在未来领先于利用 AI 发动网络攻击的威胁行为者。然而，如果一个组织成为 AI 驱动的数据泄露的目标，只有 28% 的受访者认为他们的组织做好了充分准备，这凸显了信心与实际就绪程度之间的差距——直到进行了关键能力升级为止。 由于这些新型、多样化的威胁，70% 的受访者表示他们的组织正在改变工作方式。最有可能受到 AI 所致变化影响的行业是治理和监管合规 (40%)、网络安全团队的战略方向 (39%) 以及供应商合作 (36%)。 网络安全领导者也在加强自身能力，以抗击 AI 带来的威胁。每位受访者都预计在未来部署至少一种新的 AI 相关安全工具、技术或措施。雇用生成式 AI 分析师 (45%)、进一步投资威胁检测和响应系统，以及安全信息和事件管理 (SIEM) 系统（均为40%）被列为未来的首要措施。IT 供应商将继续发挥重要作用，因为66% 的受访者已经向他们寻求 AI 相关解决方案。 工程和汽车 (45%) 以及 IT 和科技 (42%) 行业的受访者认为自己为防止这些类型的数据泄露做好了最充分准备。与此形成鲜明对比的是，法律和法律服务 (25%) 以及教育 (21%) 行业的信心程度较低。 因支付赎金证明无济于事，应对勒索软件攻击的方式不断演变 全球范围内，勒索软件及其后续赎金要求不断增加，亚太地区也不例外。 屈服于勒索要求的因素有很多，但最常见的是担心数据丢失的法律后果 (39%)、轻松恢复数据的好处 (25%)、担心长时间宕机 (22%) 和道德影响 (13%)。 我们的调查显示，在所有经历过数据泄露的受访者中，有 22%成为勒索软件攻击的目标。在受影响的组织中，62% 最终支付了赎金。普遍支付赎金的现象与 70% 受影响组织曾承诺不支付赎金的事实形成了鲜明对比。 几乎每个最终支付赎金的组织都为之后悔，96% 支付赎金的受访者发现其决定产生了一个或多个后果： •支付赎金的消息公开后，来自新来源的勒索攻击有所增加 (63%)•攻击者并没有删除窃取的数据，或在日后予以出售/披露 (56%)•攻击者没有履行恢复系统和归还数据的协议 (53%)•仅部分被盗数据得到恢复 (50%)•同一批攻击者卷土重来，提出进一步的赎金要求 (46%) 然而，不同国家/地区之间存在显著的差异，印度 (69%)、中国香港 (67%)、马来西亚 (50%) 和印度尼西亚 (50%) 的组织最有可能支付赎金，而韩国 (19%)、日本 (19%) 和新西兰 (22%) 最不可能屈服于赎金要求。 根据我们的受访者反馈，这些攻击最常见的入口点是被攻破的远程桌面协议或 VPN 服务器。这种情况占所有勒索软件攻击的 47%，但对中型公司而言是尤其严重，占 61%。第二个最常见的入口点是 Web 应用或服务器中未修补的漏洞 (39%)。 鉴于这些漏洞，受访者重点关注可用于防范勒索软件攻击的措施。Zero Trust 架构的常见原则（例如网络分段和定期数据备份）可以限制勒索软件攻击者的手段，但我们的数据显示在这些方面还有很大的改进空间。 网络安全团队被要求承担更多责任，但可用投资减少了 将以下至少两项列为其三大网络安全挑战之一的受访者百分比 %： 仅 21% 的受访者认为他们所在组织的网络安全态势非常成熟，多个关键因素正在阻碍组织的发展。 缺乏人才仍然是最紧迫的挑战 (44%)，同时只有 33% 的组织投资于领导团队的网络安全培训