《Splunk:2023年CISO报告-当今安全领导者面临的新兴趋势、威胁和战略(33页).pdf》由会员分享,可在线阅读,更多相关《Splunk:2023年CISO报告-当今安全领导者面临的新兴趋势、威胁和战略(33页).pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、当今安全领导者面临的新兴趋势、威胁和战略CISO 报告02CISO 报告|Splunk执行摘要对于世界上很多复杂的大型组织而言,Splunk 在安全运营领域占据核心地位。我们帮助 CISO 及其团队在事件不可避免地发生时快速规避新兴威胁并做出响应,并成功地发挥业务推动者的作用。但我们还想知道,全球安全领导者到底如何看待 AI?CISO 正在成为高管层的核心成员这一假设真的发生了吗?董事会和 CISO 能否协调一致?在 CISO 报告中,我们将分享最初的研究结果,并就领导者如何与网络安全形势同步发展提供见解。下面是一些最重要的要点。1.无论您是否喜欢,AI 都已成为常态70%的 CISO 认为
2、AI 让攻击者比防御者更有优势,然而 35%的 CISO 已经在尝试将 AI 用于网络防御,例如恶意软件分析、工作流自动化和风险评分。但增强并不是从 AI 开始的:93%的 CISO 已经在其流程中广泛或适度地实现了自动化,而 AI 在未来只会增加这一 比例。2.CISO 常常与董事会意见相左虽然 CISO 和董事会的首要任务越来越接近,但仍然不一致。84%的 CISO 坚持认为,董事会或管理机构更关心监管合规性,而不是安全最佳实践。31%的 CISO 表示,由于缺乏资金,项目被迫推迟,30%的受访者表示安全团队无法为业务计划提供支持。3.CISO 现在是最高管理层的一员47%的 CISO 现
3、在直接向 CEO 汇报工作。董事会正在成为更积极的安全利益相关者。他们要求 CISO 证明投资是否合理,但这并不是一件坏事。这表明董事会领导在听取 CISO 的意见,并且大多数情况下会为未来一年分配更多预算(即使这仍然不够)。4.大多数向勒索软件支付索要的赎金90%的 CISO 报告称,他们的组织去年至少经历了一次破坏性攻击。更令人震惊的是,83%的受访者在遭遇勒索软件攻击后直接、通过网络保险或通过谈判代表向攻击者付款,其中超过一半的人至少支付了 100,000 美元。03CISO 报告|Splunk5.董事会优先考虑为安全提供资金支持93%的 CISO 预计明年网络安全预算会增加,而 83%
4、的 CISO 认为组织其他部门的预算会削减。经济挑战正在影响安全态势,但并不是您所料想的方式:80%的 CISO 表示,他们注意到组织在经济衰退的同时面临着越来越多的威胁。Ryan KovarSURGe 杰出的安全策略师和领导者Ryan 是 SURGe(Splunk 的安全研究机构)杰出的安全策略师和领导者。Ryan 拥有 20 多年作为安全分析师、威胁搜寻者、防御者和 Unix 管道人员的经验,他喜欢周游世界以及研究 Splunk 客户遇到的棘手问题。在加入 Splunk 之前,他曾在 DARPA、美国海军、英国内政部和其他组织担任安全从业者和领导者。Ryan 拥有威斯敏斯特大学网络安全硕士
5、学位。Kirsty Paine科技与创新部门现场 CTO 兼战略顾问(EMEA)Kirsty Paine(她/他)是 Spunk 客户的战略顾问。作为一名经验丰富的技术专家、策略师和安全专家,她擅长了解难题并找到创造性的解决方案。Kirsty 的网络安全背景源于她的数学基础,她在英国国家网络安全中心工作多年,专门研究安全、隐私和互联网技术。6.没有协作就无法获得韧性网络安全协作程度在 IT 运营领域最高,这可能是因为这些整合更加成熟,36%的受访者认为协作良好,另有 40%的受访者认为协作良好,但仍需改进。CISO 还称赞与软件工程/应用程序开发部门(42%)、云团队(40%)和企业架构(27
6、%)的协作对于确保整个组织的韧性至关重要。关于作者 04CISO 报告|Splunk04当今的 CISO:处在变革前沿 06生成式 AI 激发真正的见解 生成式 AI 填补了网络防御领域的关键空白10 CISO 和董事会明确了优先事项 CISO 扩大了董事会的影响力,并拥有了自己的影响力 推动文化变革 CISO 接受-质疑 不断演变的角色15 CISO 面对勒索软件 勒索软件:攻击者得偿所愿19 安全投资不断增加21 协作对于建立韧性非常关键 协作可以打开大门,打破壁垒 建立未来的韧性25 韧性的新时代26 附录32 方法学当今的 CISO:处在变革前沿 如今,首席信息安全官(CISOs)的角
7、色复杂且不断变化。86%的人表示,自从他们成为 CISO 以来,这个角色发生了很大的变化,几乎成为另一份工作。他们正在成为策略师和领导者,在董事会具有更大的发言权。越来越多的 CISO(现在是 47%)直接向 CEO 汇报工作。当然,他们最关键的首要任务仍然是帮助组织应对日益复杂的威胁形势。去年,90%的 CISO 都遭遇了破坏性攻击。虽然他们正在适应防范网络攻击者,但他们无法高枕无忧。当今的 CISO:处在变革前沿05CISO 报告|SplunkCISO 的现状是,每天在面对经常相互冲突的优先事项、董事会对业务成功指标的执着追求和确保组织安全的现实情况时如履薄冰,在帮助企业快速发展的过程中面
8、临持续的困境。对他们中的许多人来说,这意味着不断向高管和董事会证明团队的价值,同时填补人员短缺造成的安全漏洞,并寻找新的方法来降低组织风险。这种平衡举措并非易事。这项研究展示了 CISO 的整体状况:他们每天面临的问题、挑战和机遇。然而,尽管威胁形势日益复杂,经济前景也不明朗,但许多 CISO 还是持乐观态度。他们比以往更有机会成为能够有效改变组织安全文化的拥护者。董事会和 CEO 不仅会听取 CISO 的意见,而且还依靠他们提供指导。展望未来,CISO 会将关注的焦点放在与整个组织内部团队的协作上,共同致力于提高组织的韧性,这样他们不仅可以抵御任何风暴,而且可以在风暴过后茁壮发展。生成式 A
9、I 激发真正的见解“我们努力在使用生成式 AI 时防患未然。”一家政府组织 CISOCISO 报告|Splunk 07生成式 AI 激发真正的见解我们发现,大多数 CISO(70%)认为,生成式 AI 将形成一种不对称战场,不可避免地让网络攻击者处于有利位置。不过,我们却更加乐观。我们知道,35%的 CISO 已经将 AI 应用于积极的安全应用程序,61%的 CISO 可能在未来 12 个月内使用 AI。不出所料,CISO 认为排名最高的恶意用例是更快、更高效的攻击(36%)、用于社交工程的假冒语音和图像(36%)以及扩大供应链的攻击面(31%)。其中许多担忧仍然是理论上的,要么是媒体报道在推
10、波助澜,要么是研究人员概念证明的一部分。在撰写本报告时,我们还没有看到生成式 AI 在现实世界的攻击中得到广泛使用,也没有看到它在攻击中比人类编写的网络钓鱼诈骗更易得手。“我们努力在使用生成式 AI 时防患未然。我们知道这项技术已经得到应用。我们不是要阻止这项技术,而是试图针对它设置尽可能多的规章制度。”一家政府组织 CISOCISO 报告|Splunk 08生成式 AI 激发真正的见解生成式 AI 填补了网络防御领域的关键空白AI 会取代人类工作吗?不会完全取代。86%的 CISO 认为,生成式 AI 将缓解安全团队的技能差距和人才短缺。这意味着,生成式 AI 将更有可能用于完成安全专业人员
11、无论如何都不愿从事的耗时的劳动密集型安全工作,从而让专业人员腾出时间从事更具战略性的工作。现实情况是,网络安全专业人员短缺,无法满足需求。借助 AI,组织能够从文件到基本检票等各个方面为员工工作提供补充。因此,当谈到担心 AI 可能会“偷走你的工作”时,试着用看待自动化的观点来看待 AI,它可以增强人才的能力,而不是取代人才。谈到自动化,93%的 CISO 表示,他们已经在流程中广泛或适度地实现了自动化,这为他们未来的创新用例提供了很大的空间。“我们在网络中总结经验,有了 AI 和 GAI,我们可以更加积极主动,这可能会帮助我们解决技能短缺的问题。”高等教育业 CISO一家政府组织的 CISO
12、 表示:“我不知道在网络安全领域工作的人员现在能否轻松地招聘和留住人才。”因此,当谈到如何将 AI 用于网络防御时,CISO 有很多想法。AI 是另一种可以应对从战略挑战到深入技术挑战的工具。CISO 正在安排由 AI 来执行单调的技术任务,这并不奇怪。但我们也很高兴看到在战略功能中有机会使用 AI:围绕数据质量保证、扩充警报并制定警报的优先次序以及管理安全态势分析和内部通信的挑战。虽然安全问题可能不是什么新问题,但 AI 为新解决方案提供了潜力。AI 还为员工提供了提升技能水平和教育水平的机会。46%的 CISO 计划让安全团队加快部署有效的提示工程。其他策略工作包括培训员工以更好地了解生成
13、式 AI 带来的威胁(39%),并制定协议来确定哪些任务类型适合由 AI 机器人完成(37%),而哪些工作应专门由人类完成。CISO 和董事会CISO 报告|Splunk 09生成式 AI 激发真正的见解公司如何将生成式 AI 用于网络安全35%安全卫生和态势管理分 析和优先级27%警报和事件的数据扩充26%内部通信26%分析数据源以确定应优化或淘汰哪些数据源25%恶意软件分析23%制定检测规则23%建立安全配置 标准22%工作流程自动化22%威胁搜寻20%风险评分20%策略建立19%事件响应和取证调查明确了优先 事项“董事会已经非常重视风险防范,而网络是一种风险。”交通、旅游和运输行业 CI
14、SOCISO 报告|Splunk11CISO 和董事会明确了优先事项CISO 如何知道自己的工作是否出色?我们询问了他们的成功指标 他们优先考虑什么,以及他们认为董事会最关心什么。这两个答案有时相去甚远,导致在现场执行时难以协调一致,让人感到沮丧。在一家拥有 11,000 多名员工的组织中,一位科技行业 CISO 表示:“你可以购买世界上所有的技术,但如果用户没有接受过良好的培训,情况可能会变糟。”CISO 还指出在价值观和认知方面存在更根本的差异。一家外包公司的 CISO 补充道:“一些董事会成员了解安全的重要性。”“而另一些成员却并不了解。”然而,当他们谈到量化风险、商业价值和投资回报时,
15、CISO 渐渐能够在董事会/最高管理层中发表自己的见解:26%的 CISO 表示,他们会分享安全测试的结果,向董事会表明干预的最佳切入点,并展示明智而积极的领导力。27%的 CISO 表示,他们优先报告安全投资的投资回报率,表明干预和资金在哪个领域发挥了作用,为直接与 CFO 沟通并获得未来投资支持铺平道路。25%的 CISO 表示,购买网络保险可能是让董事会对“安全”问题放心的最佳方式;并且/或者证明在其他领域投资的合理性。一家医疗保健组织的 CISO 表示:“我认为,由于最近业内发生的事件,与三年前相比,人们提高了对渗透测试和网络安全重要性的认识。”这证实了另一项令人惊讶的发现结果:86%
16、的 CISO 的最大责任是确保管理机构/董事会能够看到安全投资的价值。正如一位运输领域的 CISO 所言,“董事会真正需要的是风险量化。他们希望能够以美元和美分量化。”然而,只有 20%的董事会将“安全投资的投资回报率”评为衡量成功的指标,可能是因为他们不了解投资回报率对风险的影响,而是依赖于其他反映安全态势改善的指标。他们对投资回报率的要求无疑更加苛刻。近三分之一(31%)的受访者表示,由于缺乏资金,项目被迫推迟,而 30%的受访者还表示,团队无法为业务计划提供支持。此外,84%的 CISO 表示,他们的董事会/管理机构将强大的安全性和监管合规性划等号(而不是最佳实践),这可能导致对“内部和
17、/或监管合规审计的状态和结果”重视程度略有差异。因此,90%的 CISO 表示,他们的管理机构/董事会现在关心的 KPI 和安全指标与两年前不同,这并不奇怪。一家运输和物流公司的 CISO 表示:“我的董事会热衷于数字。”“但网络的问题是,很难找到一个数字来说明我们的状况。”对于 CISO 和董事会成员来说,现在应更新方法并确保始终协调一致。CISO 报告|Splunk12CISO 和董事会明确了优先事项CISO 扩大了董事会的影 响力,并拥有了自己的影 响力 总的来说,我们的研究表明,CISO 正在正式确定自己的地位:47%的 CISO 直接向首席执行官(CEO)汇报工作,40%的 CISO
18、 向首席信息官(CIO)汇报工作。有趣的是,西欧引领这一趋势,54%的 CISO 直接向 CEO 报告,在亚太地区这一比例为 48%,而 AMER 地区这一比例较低,为 41%。这可能是由于现有和即将出台的欧洲立法,立法规定 CEO 个人负有安全责任,如果存在失职,将接受惩罚。简而言之,面对网络攻击,无知不再是一种防御手段。报告中的这种转变说明了 CISO 如何将工作重点转移到业务上并确定其管理角色。不再考虑与最高管理层拉近关系。他们就是最高管理层。这一趋势反映出,现在对组织来说安全与财务一样重要(CISO 和 CFO 并肩工作)。安全风险已经变得和金融风险一样代价高昂且容易引发诉讼,对股价的
19、影响也一样大。推动文化变革如今,网络风险就是商业风险。组织经常将安全性整合到现有的业务系统和流程中。为了证明董事会对安全的重视,绝大多数组织(78%)现在都成立了专注于网络安全、隐私或网络风险的小组委员会或审计委员会。这在一定程度上可能是由于欧洲立法的要求,立法规定 CEO 个人对安全负责。从提高员工意识到将安全要求纳入软件开发和业务决策中,CISO 正在逐步推动各自组织内安全文化的变革。一家运输、旅游和造船公司的 CISO 表示:“文化变革需要时间。这与技术本身关系不大,是最难开展的一部分工作。”CISO 可能正在继续打开一扇门,或者他们的努力终将得到回报,但很明显,他们对文化的影响超出了其
20、直接权利范围:88%的 CISO 表示,董事会或管理机构正在共同努力学习网络安 全知识。CISO 报告|Splunk13CISO 和董事会明确了优先事项CISO 和董事会对成功要素的排名*他们衡量网络安全计划成功与否的要素非常接近安全投资的投资回报率内部和/或监管合规性审计的状态和结果安全测试结果风险暴露水平或修补/工具覆盖率来自业务线高管/最高管理层/董事会的反馈具有最新修补程序的系统所占百分比安全路线图里程碑的实现情况警报检查和调查率响应或补救的平均时间(MTTR)安全/成熟度模型评估认证进展修补漏洞所需的平均时间符合安全控制策略的系统所占百分比高优先级事件、违规和其他可报告事件的数量资产
21、和软件库存覆盖比例购买网络保险的能力完成安全意识培训的员工所占百分比已识别的漏洞数量平均检测时间(MTTD)27%26%23%23%22%25%22%21%20%20%19%18%17%17%17%16%16%14%23%23%23%21%21%21%20%20%19%19%18%18%18%18%18%17%17%14%CISO董事会*按差异从大到小的顺序排列的因素CISO 报告|Splunk14CISO 和董事会明确了优先事项CISO 接受-质疑 不断演变的角色举报仍然很普遍;82%的受访者表示,如果他们的组织故意忽视安全最佳实践和合规要求,并将企业置于危险之中,他们会考虑举报。这说明了他
22、们在工作之上的责任感、强烈的道德感,他们在为组织的安全事故承担责任后可能会总结一些教训。说他们是替罪羊可能并不算言过其实:84%的 CISO 同意或非常同意他们对自己在网络安全事件中承担的个人责任心存担忧。我们的专家建议您找一位私人律师(而不是公司提供的律师),如果需要可以在短时间内致电这位律师。在涉及购买决策时,如果您需要给董事会留下深刻印象,久经验证的安全方案可能是更好的选择:90%的 CISO 表示,管理机构/董事会非常信任行业分析师的建议。许多董事会和 CEO 都知道责任格局已经改变,但他们感到无力有效应对这些新动态。因此,CISO 就有机会对董事会进行培训,最终改善组织的安全态势。最
23、终,现在 CISO 的地位更加重要,更有发言权。最高管理层和董事会都会听取他们的意见和建议。安全领导者可以利用不断增长的平台来创造希望在业内看到的变革。47%首席执行官40%首席信息官5%首席财务官4%首席运营官2%首席风险官1%首席合规官1%高级副总裁/副总裁/执行副总裁CISO 向最高管理层汇报工作的情况CISO 面对勒索软件“我的目标:当我们面对重大网络入侵时,不要掌控一切。”一家银行业公司的 CISO报告至少遇到一次破坏性攻击最令人担忧的网络威胁40%社交工程攻击37%运营技术(OT)和物联网(IoT)33%勒索软件30%内部威胁29%第三方风险24%分布式拒绝服务攻击24%破坏性恶意
24、软件24%错误和配置错误24%加密挖掘21%账户接管20%欺诈CISO 报告|Splunk16CISO 面对勒索软件 CISO 可能会面临重大攻击-令人震惊的是,90%的 CISO 在过去一年至少遇到了一次破坏性攻击(43%至少遇到一次,34%遇到几次,13%遇到好几次)毫不奇怪,社交工程、OT/IoT 和勒索软件是 CISO 最关心的问题 这些威胁不仅在媒体报道上占据突出位置,而且在财务上具有破坏性。一家医疗保健组织的 CISO 表示:“您的决定 会影响企业的运营。如果您做出了错误的选择,你可能会毁掉企业。”90%勒索软件 修复勒索软件 付款4%灾难恢复服务提供商1%不知道1%不愿意说9%1
25、00 万美元或以上16%$250,000-$999,99926%$100,000-$249,99944%$25,000-$99,9994%和 Turn Data Into Doing 是 Splunk Inc.在美国和其他国家/地区的商标和注册商标。所有其他品牌名称、产品名称或商标均属于其各自所有者。2023 Splunk Inc.保留所有权利。23-295950-Splunk-The CISO Report-EB-121Splunk 视角 领导者。阅读我们的在线出版物 Splunk 视角,获取更多关于安全、IT 和工程的高管观点。您将了解 Splunk 的领导者和专家以及来自业内嘉宾的见解。我们的目标是让拥有全球大型公司工作经验的人士提供有趣、值得深思且可行的见解。访问 Splunk 视角与 Splunk 保持对话