卡巴斯基最近的一项研究显示,在过去两年中,全球有15%的公司因网络安全投资不足而遭遇过网络事件。令人震惊的是,由于预算分配不当,关键基础设施、石油和天然气以及能源组织遭受的网络事件数量最多(25%)。当谈到全球公司的财务状况时,五分之一(21%)的受访公司承认他们没有预算来采取适当的网络安全措施。
卡巴斯基进行了一项研究[1],以了解在全球中小企业和大型企业工作的IT安全专业人员对人为因素对公司网络安全影响的看法。这项研究旨在收集对网络安全有影响的各类人群的信息,既考虑了内部员工,也考虑了外部承包商。研究还分析了决策者在预算分配方面对网络安全的影响。
网络安全预算分配不足导致全球15%的公司在过去两年中遭受了网络事件。而且每个行业的情况都不一样。例如,由于缺乏预算,关键基础设施、能源和石油天然气组织遭受的网络攻击数量最多(25%)。与此同时,有些行业发生的网络事件数量少于全球数字(15%)。由于预算限制,电信行业遭受了13%的网络事件,而运输和物流以及金融服务公司各有8%。
当被问及网络安全措施的预算时,全球 78% 的受访者表示,他们有能力跟上甚至领先于新的威胁。但是,21%的公司做的并不好,18%的公司表示他们没有足够的资金来妥善保护公司的基础架构。与此同时,仍有一些公司根本没有为网络安全分配成本——3%的公司声称他们没有专门的预算来满足网络保护需求。在适当分配网络安全资金方面,最成功的行业是金融服务业——90% 的受访者声称他们的组织能够跟上并领先于所有新威胁。
您认为贵公司网络安全措施的预算 ……?
许多受访公司都迫切希望在未来 1-1.5 年内采取措施加强网络安全。最受欢迎的投资领域之一是威胁检测软件(40%)和培训,其中39%的公司计划为网络安全专业人员的教育计划分配预算,38%的公司计划为培训普通员工分配预算。企业计划近期采取的其他热门措施包括引入端点保护软件(36%)、增聘 IT 专业人员(35%)和采用 SaaS 云解决方案(34%)。
“今天,企业必须将网络安全投资与业务战略相结合,并将网络安全视为业务目标之一。当然,投资必须证明其合理性并有效,因此信息安全部门还面临着提高信息安全投资的投资回报率和为高级管理层或董事会辩护的任务。此外,除了降低 MTTD 和 MTTR 外,信息安全的任务还包括降低安全事故的成本。这些挑战可以通过使用各种现代方法和技术来应对。例如,我们正在投资开发我们的 SASE 产品组合以及集成了 AI、机器学习、自动检测和响应、自动威胁调查、开箱即用集成等的 XDR 和 MDR。为确保流程透明并证明我们解决方案的价值,我们还为首席信息安全官(CISO)提供 C 级仪表板和报告,其中包括有关我们预防了多少事件、调查事件的速度以及已部署的网络安全解决方案的有效性的信息。我们还强调客户特定的风险,并向他们展示行业特有的趋势,以帮助他们围绕当前的危险进行有针对性的防御,从而塑造自己的网络安全,并证明对必要技术的投资是合理的,”卡巴斯基企业产品副总裁Ivan Vassunov评论说。
完整版报告以及更多有关人为因素对企业网络安全的影响见解请参见这个链接。
为了充分利用预算,卡巴斯基建议:
· 部署具有高级异常控制功能的网络安全产品,例如卡巴斯基端点检测和响应优化版。这有助于防止用户或已经控制了系统的攻击者发起潜在危险的“异常”活动。
· 使用易于管理的解决方案。卡巴斯基端点安全云是专为目前没有预算购买大量网络安全产品的小型企业或公司设计的。多合一的托管 SaaS 控制台允许一个管理员从一个地方管理广泛的网络安全任务,工作流程简单易懂。
· 对公司的每个人(从普通员工到决策者)都进行培训投资。卡巴斯基自动化安全意识平台可教育员工了解安全互联网行为,包括模拟网络钓鱼攻击练习。与此同时,卡巴斯基IT在线网络安全培训可帮助普通IT管理员建立简单而有效的IT安全最佳实践和简单的事件响应场景,卡巴斯基专家培训为您的安全团队提供最新的知识和技能来管理和消除威胁,保护您的组织免受最复杂的攻击。最后但并非最不重要的一点是,为了提高决策者对网络安全重要性的理解,以及如何最好地分配预算以防患于未然,请让他们参与卡巴斯基交互式保护模拟,加强管理层人员的专业教育。
· 考虑专家的帮助。例如,卡巴斯基评估系列专业服务可识别系统配置中的安全漏洞,而安全架构设计则有助于创建非常适合特定公司的 IT 安全基础架构。每个实施步骤都以实际安全需求为基础,为决策者分配预算提供令人信服的论据。
· 参考卡巴斯基面向中小型企业的“预算范围内的网络安全”资源,了解如何在不影响安全性的情况下减少 IT 支出。