2022年全球网络安全态势报告

2022全球网络安2022全球网络安全态势报告0202全球威胁仍未消减13应对日益严峻的挑战■79%的人表示遭受过勒索软件攻击，35%的人承认，曾有一次或多次攻击导致其无法访问数据和系统的情况发生。18前进的道路20重要建议20重要建议23附录来越复杂、人材短缺现象愈加严重，连同疫情带来的挑战，使得安全运营2022全球网络安全态势报告|Splunk03全球威胁仍未消减的各个方面。越多的泄露事件，们将不得不投入更多时间和精力(一年前为42%)。机密数据(一年前为28%)。2022全球网络安全态势报告|Splunk04每年一次或更少不知道事故带来的损失并非只存在于理论之中，受到影响的也绝非仅安全预算一项。除了业务受损、支付赎金以及声誉受损之外，停机也会给整个组织造成不可估量的损失大多数受访者(54%)都认为，受网络安全事件影响，业务关键型应用至少一个月就会经历一次此外，因网络安全事件而遭受计划外停机的业务关键型工作负载的平均恢复时间为14小时。我们要求受访者估算一下因业务关键型应用停机而造成的损失(以小时计)，整个调查样本的平均损失约为200000美元。由此我们可以算出，如今组织每年因网络安全攻击而造成的平均停机成本约为3360万美元。换言之，攻击者和防御者之间的战斗将会因为复杂性的增加而进一步恶化。混合、多云环境日益复杂，不仅托管了现代云原生和微服需要确保每个人都能远程登录这些应用和技术。安全团队需要全面了解其云基础设施并实现可视化，聚焦云端运行情况。他们面临的新挑战主要涉及安全配置、软件漏洞、合规以及维护所有访问和活动的审计跟踪需求等方面。同时，他们需要重新审视基于新型攻击链的针对特定组织的威胁模型让我们看看进展如何。击导致频繁停机每隔几周一次每周一次或更频繁2022全球网络安全态势报告|Splunk05全球威胁仍未消减安全团队已然落后64%的受访者表示，近年来满足安全要求变得越来越困难，而一年前这一比例为49%。主要原因包括：■凶险的威胁态势(38%的受访者；低于去年的48%但仍排名第一)。%，并且位列第五)。■熟练劳动力的招聘和挽留问题(均为29%，均比去年略有上升)。安全团队面临的最大挑战包括：年为23%，并且位列第四)。■疲于应对管理安全技术的复杂性(从24%上升到26%，保持其作为第三大挑战的地位)。战(26%，高于去年的22%，是第五大挑战)。总的来说，对合规性的必要关注、太多时间处于被动地位，以及太多复杂性和人员太少的挑战，共同分散了SOC对新兴威胁的关注。为什么安全性越来越难*威胁态势变得越来越复杂我们的安全堆栈和正在使用的工具/供应商的数量变得极其复杂我们越来越难以留住熟练的安全资源来处理工作负载我们越来越难以找到/雇佣足够的熟练安全资源来处将工作负载转移到公有云增加了监控攻击面的难度来支持不断扩大的攻击面和威胁形势2022全球网络安全态势报告|Splunk06全球威胁仍未消减2020年初新冠肺炎疫情的出现为安全专家带来了前所未有的挑战，正如我们在去年的报告中指出的，安全、IT和业务团队之间的协作后，许多挑战仍然令人烦恼，其中最让人无奈的，莫过于远程工作了。与疫情之前相比，平均而言，组织需要支持两倍数量的远程员工。尽管现在的平均水平(46%的劳动力)比2021年低10个百分点，的员工将保持远程办公。因此，90%的人都认为有必要调整安全控制和策略。这种向远程工作方式的转变为运营带来了挑战，包括：确保对企业网络的访问(29%的受访者提到)，确保使用中的设备得到安全配置(28%)以及确保实现对云资产的安全访问(27%)。的员工在疫情前远程工作46%的员工如今远程工作的员工预计将在一年后远程工作2022全球网络安全态势报告|Splunk07全球威胁仍未消减远程工作和其他疫情措施给IT组织和业务部门带来了压力，但安全团队受到的冲击最为严重：80%的受访者表示，SOC必须不断创建和实施新的威胁检测规则，以满足远程员工的需求。65%的组织发现网络攻击企图明显增加，这个问题尤其严重，因为78%的组织表示远程员工更难保护。正如上面提到的成功入侵，这些上升的数字不一定仅仅是由扩散攻击造成的。组织在检测攻击方面也可以变得越来越好。在这种情况下，受访者仍将攻击的增加部分归因于远程工作带来的更大的攻击面。6%是，我们看到了攻击显著增加39%229%2022全球网络安全态势报告|Splunk08全球威胁仍未消减供应链问题是首要问题全球网络安全态势调查是在SolarWinds披露后两个月进行的，当时只有47%的首席信息安全官(CISO)就供应链风险向董事会或高年后，由此引发的讨论仍然持续不断，促使企业采取战略行动。90%的组织(几乎所有人)报告说，正是受到这些臭名昭著的攻，61%的CISO现在会定期向他们的董事会和/或业务主管汇报这一领域的活动情况，而这一数据在(一年前为47%，也就是SolarWinds攻击事件后仅仅两个月)。的20年中，我从未见过软件供应链威胁可视化达到过这种水平。”这种变化可能不完全是一种炒作反应。40%的受访者表示，他们的组织受到了供应链攻击的影响。Kovar说，供应链攻击将很快改变软件的买卖方式。快速知道自己的组织是否易受到攻击。”在我们的调查中，对这类攻击的关注导致97%的组织都采取了某种措施。大多数情况下(33%，同比增长2%)，受访者都提高了在网络安全方面的预算。同样重要的，是CISO们需要具备督促业务领导和董事会参与进来的能力。54%的受访者表示，这样的讨论论，这些行动就不会发生。对日益增多的供应链攻击的主要应对措施33%增加网络安全预算29%评估安全控制措施，检测此类攻击增加CISO和高管/董事会之间的会议频率采用某种形式的强身份认证技2022全球网络安全态势报告|Splunk09两种情况均属实如果说2022年还有什么能比供应链攻击更令人担忧的，那很可能是勒索软件(就像Kaseya和Log4Shell的情况一样，它可以通过供应链传播)。去年6月，在发布网络安全行政令后，拜登政府发布了一份专门针对勒索软件的备忘录。除了担忧，各组织还采取了行动：84%接受调查的组织已经正式制定了应对勒索软件的行动手册，即响应勒索软件攻击所需步骤的列表。但迄今为止，这只是一种被动的反应；在遭受成功勒索软件攻击的组织中，71%的组织在被成功攻击后才制定了行动手册。对勒索软件的主要回应：支付赎金。在遭受成功勒索软件攻击的受访者中，只有33%的组织通过从备份中恢复来避免支付赎金。大约66%的受访者报告说，犯罪分子得到了组织(39%的案例)或其保险公司(27%)的支付。当被问及支付给攻击者的最大赎金是多是大约347000美元。值得注意的是，没有被成功劫持的人底气更足。在没有成为受害者的受访者中，只有42%的人表示他们的组织可能会付钱给攻击者。的灾难恢复或备份能力受到考验，许多组织可能会发现这并不像他们想象的那么简单。”除了更好的响应计划之外，安全领导者也开始相信数据：88%的受访者认为，更好地捕获和分析检测数据是他们成功防范勒索病毒攻击的最有效工具之一。4444%20%我们的数据和系统552%45%58%安全团队因人才危机而踯躅安全人才始终是稀缺资源。但是今年，安全领导者所面临得劳动力短缺问题尤其严峻。87%的受访者表示，其在技能和人员配备方面面临挑战；53%的人表示他们雇用不到足够的员工，另有58%的人说他们找不到具备相应技能的人才。这又是一个长期存在的问题，但这些趋势正朝着错误的方向难，在此期间，所谓的“大辞职”在各行各业上演。人才问题解决不了，将带来许多问题：■70%的人表示，工作量的增加迫使他们考虑寻找新的工■76%的人表示，团队成员被迫承担他们未准备好承担的责■68%的人表示，人才短缺直接导致了一个或多个项目/行动失败。最后一个数据尤其令人不安。一旦看到别人辞职就会有更多人辞职，人才危机将会进入恶心循环。最有前途的安全策略 更更好地捕获和分析安全数据使用日益自动化的解决方案(由使用日益自动化的解决方案(由AI/ML提供支持)来检测和响应网络安全事件通通过供应商合理化/使用更多基于平台的控制措施来简化安全工具组合增加增加对商业安全控制的投资增加增加对IT/网络安全人员安全培训的投资定了云优先政策。表示他们在做出决策之前会平等地权衡云和内部选项。定了云优先政策。表示他们在做出决策之前会平等地权衡云和内部选项。业使用三个或更多公有云服务提供商(一年前为他们将在24个月后使用三家或更多公有云服务提供商 只有只有20%的组织仍然采用内部优先的方法。全球威胁仍未消减多年来，向云迁移一直稳步发展，但随着新冠肺炎疫情的出现，迁移速度明显加快。安全团队发现由此产生的复杂性令人生畏。云的重要性日益增长，导致安全领导在对云进行了解方面承受着巨大压力。超过四分之三的受访者(79%)表示，他们的CISO面临的压力，是需要展示云流畅度已经得到提升。两个云原生安全挑战仍然突出：■保持数据中心和云之间的一致性(45%，低于去年的50%，但仍是最大的云安全挑战)■使用多种安全控制措施会导致成本和复杂性增加(37%，低于去似乎一个问题会引发另一个问题：太多使用单点工具会产生孤岛和潜在的盲点，导致更多只关注某个或某些特定功能工具的使用。就需要改进的云安全可视化领域而言，前两个回答(见下图)也是去年的主要关注点。一个值得注意的变化是，排在第三的回答，即保持帐户活动的清晰审计线索，从去年的第五位上升到2022年的第三位。正如人才短缺导致倦怠进而导致人员流失一样，云复杂性也有一个死循环的特性：基础设越复杂，投入使用的单点工具就会越来越多。由此产生的孤岛将进一步影响可视化进程，为运营带来巨大成本挑战。ovar我的解决办法是：提高组织的云流畅度。”法39%32%29%28%23%确定不合规/非最佳实识别软件漏洞保持对特权用户和服正确配置安全组(例改进操作系统级活动提高恶意软件的检测载务帐户活动进行审计跟踪 (例如，进程和文件系统更改)23%22%19%13%的安全性维护基于云的资产的更新清单保护与服务帐户相关联的权限功能活动改善服务器和容器工作负载通信更好地检测异常活动上(或超过)那些不法之徒。应对日益严峻的挑战人才解决方案在克服人才危机方面有哪些策略可供选择？我们的受访者选择了工具和培训的组合。使用”其他策略包括：■更好地捕获并分析安全数据：47%■简化安全工具组合(供应商合理化或基于平台的控制)：，这两种策略并不相互排斥，每个人都会欣然接受由AI/ML支持的的大部分安全运营中心活动(如威胁检测、调查和响应)都将实现自动。但这并不代表您就能自动解决人才紧缺问题，有许多组织正在不断尝试新的方法，希望以此摆脱人才困局。更难找到的网络安全角色之一是云安全架构师和云安全工程师。网络安全技能和云计算知识的维恩图就没有太多的重合。作为回应，许多组织要求他们的开发人员编写安全处理流程，以便它们在项目团队中可以重复使用。“如果你注重的不是只给人们提供更多的工具实现监控，那么自动化就会我们必须开始考虑备用人才库，因为永远不会有足够的传统意义上的安有关这两种策略的更多信息，请参阅下面的主要建议。■30%的安全领导表示，他们无法雇佣足够的员工来处理工作量。■35%的受访者表示他们找不到具备合适技能的员工。■23%的受访者表示这两个因素都是问题。挑战。应对日益严峻的挑战分析和自动化越来越重要分析和自动化功能使安全分析师能够更智能地工作，并以机器速度响应威胁。82%的受访者表示，他们的CISO面临着提高数据分析能力的压力。85%的受访者(高于去年的82%)表示，与两年前相比，安全分析在他们的整体网络安全战略和决策中发挥着越来越大的作用。组织对分析、自动化和SOAR(安全编排、自动化和响应)技术的大力投资仍在继续：■67%的组织积极投资于专为实现安全分析、运营自动化以及编排而开发的技术。将使用安全信息和事件管理(SIEM)工具中的自动化和编排能。自动化和分析工具的采用与DevSecOps趋势相关(更多信息见下文)；35%的受访者表示，他们的组织已经或即将使用DevOps工具构建安全规则，以实现自动化和编排(提及次数最多的方法)功能。77%的组织将非安全分析解决方案(针对业应对日益严峻的挑战分析和自动化技术不仅在全球SOC中普遍使用，在技术层面也越来越成熟。现在，63%的组织(一年前为54%)已经为实现安全分析部署了机器学习技术。最常见的情况是，组织希望利用基于ML的技术来提升威胁检测能力(37%)，从初级分析师那里获得更大收事件响应自动化的首要任务是：实现安全工具与IT运营系统的集成：29%ITOps协作性：28%务：26%■将外部威胁情报与内部安全数据分析相集成：26%■从各种安全工具采集和汇聚数据：24%。31%分析和运营上这样做动此类项目样做在将来的某个时候这样做应对日益严峻的挑战DevSecOps模式一方面有越来越多的主流需求来帮助安全扩展，同时也有压力来推动应用程序更快的开发和部署。整整80%的受访者表示，他们的CISO面临着发展DevSecOps技能的压力。(就像DevSecOps的采用一样，需要改进的地方越来越多，这给CISO带来了压力)在我们的研究中，我们将DevSecOps定义为“在CI/CD[持续集成和交付/部署]处理的每个阶段，用于整合网络安全措施和控制的协同软件工程、运营和网络安全实践。”并不说需要我们告诉他们，75%的组织表示正在使用DevSecOps。大约五分之三的受访者表示，DevSecOps需要自动化安全工作流程，例如：■在投入使用前识别并修复软件漏洞(62%)■在投入使用之前识别并修复恶意软件(64%)时API安全控制(61%)■为实现对日志代码进行更改(59%)DevSecOps的一般原则是将安全性放在开发过程的开始，而不是作为后期阶段的控制因素，这一点已经深入人心，但尽管如此，我们还是就为什么采用DevSecOps这种方式询问了受访者。主要驱动因素：1.让网络安全与快速发展的开发团队保持同步(46%)2.建立更主动的安全态势(43%)3.借助自动化获得更高的运营效率(41%)4.更好地保护云驻留数据(41%)5.促进网络安全、开发和运营团队之间的协作(39%)安全团队与开发团队保持同步的能力有所提高；70%的人表示，安全态势更加积极主动；69%的受访者表示他们保护云托管数据的能力有所提高。3838%37%我们正在评估前进的道路子和国家层面的犯罪集团通过不断增加攻击数量、的培训仍然是首要关注领域(26%的受访者提到)。眼前的安全优先事项*组织在未来两年将关注的行动。IT运营人员提供安全运营培训购买旨在帮助组织自动化和协调安全运营流程的安积极开发和构建安全分析和运营工具的集成软件基于雇佣更多的安全操将安全分析与专业服务组织合作开发正式的安全运营流程使用和分析更多外部威胁情报(开源和商业更2022全球网络安全态势报告|Splunk20要建议看一下这次全球调研中我们收到的一些意见和建议。组织已经告诉我们，他们正在努力将寻找、培训和留住人才作为优有付出的努力都很重要，值得推荐。但这还不够。安全分析师的领域太小，永远无法满足需求，这就是为什么RyanKovar人才”的原始含义，而不仅仅是“工人”的委婉说法。“你永远无法用传统安全人员来填补缺口。”他说。“我们必须考虑这可能包括在非安全IT岗位上有经验的人，但Kovar说他看得更天赋异禀，而不是训练有素。”他说。“很幸运我能招聘到有新闻、人力资源和创意背景的人。我只需要有天生好奇心和综合理解数据天赋的人。”他发现，拥有人文学科学位的人可能在这方面表现非凡，通常比那些拥有传统计算机科学学位的人更出色。“我可以把安全分析师的角色教给那些能够综合数据并进行交流的重要建议近80%的受访者告诉我们，CISO面临着提高云流畅度的压力。相当多的人还表示，不清楚他们的团队和云提供商之间的安全责任分别是什么。从高级安全领导到一级安全分析师，每个人都需要了解其所属的混合、多云环境。组织必须投入时间和培训，以了解其公有、私有和SaaS解决方案之间的复杂的相互作用。他们需要工具和培训来完成对各种环境，管理访问和身份验证的安全配置，并最大限度地减少MTTD和MTTR(平均检测和恢复时间)。许多组织仍然对云感到困惑，这种风险必须通过技能集、工具集、跨团队协作和培训的综合方法来消除。我们的意思是真正了解您的云。还有您的所有软件。每个软件组织都应该维护一份软件材料清单(SBOM)，列出所有通过软件组合分析(SCA)在生产中运行的软件组件，并始终保持最新。BOM4.借助自动化增强人工分析能力。如果我们的团队永远不会有足够的人，那解决方案就是让一切实Kovar的麻烦和解决的问题“分析师不知所措，然后筋疲力尽，这是一个很难应对的挑战，从某“你给某人的工具定有助于缓解倦怠。”因此，自动化的目的是将那些人工分析师解放出来，让他们更有效率地工作。这可能意味着更少的工具，而不是更多。这可能意味着一种平台方法，使分析师不仅可以更容易地跟上他们的工具，而且可以对重大事件采取行动，同时以机器速度修复基本内容。结果应该是更少的压迫感和更少的倦怠。2022全球网络安全态势报告|Splunk22重要建议对于23%还没有抽出时间来采用DevSecOps开发模式的受访者，题的人，我们强烈建议他们阅读一些与这个话题有关的内容。对于大多数已经取得进展的人来说：继续前进。我们的研究发现，75%的组织正在使用DevSecOps来识别和修复漏洞，并在部署之前修复恶意软件，以及记录代码更改以供审计和应用运行时API安全控制所使用。综上所述，DevSecOps正在帮助组织有效应对可视化挑战(并将不良软件排除在生产环境之DevSecOps的典型优势。KovarDevSecOps软件和下的问题。”他说。“这是重要的一步，因为对手正越来越多地将攻击技术结合起来使用，更好地利用我们的覆盖缺口或低效率。”此外，我们还要确保DevSecOps模式能够覆盖所有软件开发，而富》1000强公司中排名最末的所有公司创造的收入之和都多。”6.整合无序扩张的工具集。正如每个人的祖父都会说的那样，您需要合适的工具来做合适的工动的应用程序，要实现高效运行就需要有效的监控，需要一定程度取反馈。从这个意义上来说，它更像是一只宠物，在您陷入混乱之前，可以在您的房子里跑来跑去的宠物数量是有限的。还有它们的排泄物。整合是指为正确的工作配备正确的工具，同时确保您的团队能够承担起管理责任。与随意的自动化一样，粗心的工具整合会增加挫折感和倦怠感。专注于必要的工具集，特别是可以在一个仪表板上整合显示多个输入的平台方法，可以为您的分析师提供信息，而不是让他们承担检查一百万个输出的繁忙工作。从长远来看，组织可以节省下用于维护、培训和授权成本，并实现对这些成本的更好利用。同时，智能工具集提高了对基础设施、应用性能和安全态势的可视化。2022全球网络安全态势报告|Splunk23行业数据来自全球七个精选行业的突出数据点。通信和媒体与其他行业相比，通信和媒体组织会遭受更多更频繁的停机事件的CISO点产生巨大影响。为了应对攻击而在通信和媒体领域采取行动(新政策或投资)的组织中，55%的O表示其他行业也有同样情况的受访者比例为37%)。的公司选择与单一公有云基础设施提供商合作(相比之下，其他作(相比之下，其他行业的平均比例为32%)。金融服务接受调研的金融服务组织往往比其他行业拥有更大规模的完善能把找到足够的人才来处理工作量列为他们的首要挑战(21%对30%)。金融服务组织在部署新的应用时会倾向于采取云友好策略；50%的。s些方法)。2022全球网络安全态势报告|Splunk24生命科学分重要应用，而在其他垂直行业中，这64%。越来越多的医疗卫生组织表示，与两年前相比，如今满足网络安全要求(即部署/调整控制措施、监控网络行为、跟踪威胁情报等)要相比之下，其他行业的平均水平为25%)。比之下，其他行业只有18%)表示他们的安全工具不能有效地支持向云的迁移。其他行业中只有37%的受访者表示遇到过此类事件。制造业SOC(FTE)组成(相DDoS攻击(36%对46%)的可能性也在不断降低。制造企业似乎对软件供应链攻击采取了更加被动的方法。只有20%的受访者表示，由于这些攻击，CISO和企业高管之间的会议增加了 (其他行业为29%)，19%的受访者表示威胁搜寻活动增加了(其他行业为26%)。计的合作伙伴、要求供应商完成安全问卷或审查渗透测试结果。2022全球网络安全态势报告|Splunk25公共部门(教育和政府机构)内将大幅增加(其他行业的这一比例为52%)。分析在其整体网络安全战略中发挥了更大的作用(其他行业中持有个具有数据科学技能的员工是未来几年的首要任务(明显高于其他说他们已经大幅度左移(其他行业为39%)。数字明显低于其他行业零售商显然更有可能向勒索软件攻击者支付赎金。在经历过这种攻37%)。SOCSOCFTE)组成(其他行业C的组织规模而言，网络安全团队人手不足是其最大挑战(其他行业2022全球网络安全态势报告|Splunk26科技他们的SOC由超过50名全职员工(FTE)组成(其他行业中具有类似或更多公有云基础设施提供商合作(跨行业的平均比例为29%)，67%的受访者预计在24个月内会这样做(其他行业的这一比例为52%)。者表示遭受过成功的网络钓鱼攻击(其他行业为45%)；44%的受访者经历过账号盗用攻击(其他行业为35%)，49%的受访者发现过冒充他们品牌的欺诈网站(其他行业为38%)。的受访者表示，更好地捕获和分析安全数据是克服近期人员配备挑战之一。2022全球网络安全态势报告|Splunk27典型国家/地区澳大利亚和新西兰少于其他国家/地区，包括：数据泄露(35%，其他国家/地区的组织为49%)、商务电子邮件泄露(33%对52%)和成功的网络钓鱼攻击 对48%)。澳大利亚和新西兰的组织经历了与安全事件相关的更长的停机时间。兰的受访者所受压力较小。为36%)强烈认为，未来三年内，他们所在组织的安全运营中心活动(例如威胁检测、调查和响应)将实现自动化，几乎不需要管理员干预。加拿大加拿大的受访者报告称，其所属组织在增加网络安全投资的速度方他国家/地区的受访者中有40%表示如此。加拿大的组织在安全分析方面没能走得那么远。加拿大以外38%的受访者都广泛部署了专为安全分析和运营自动化及编排而开发的技2022全球网络安全态势报告|Splunk28法国家/地区的受访者为68%。球与其他国家/地区相比，法国受访者不太可能报告与最近经历的安全配大量IT/安全人员时间进行补救(38%对60%)。预。德国受访者(48%，世界其他国家/地出(27%)，在接受调研的其他国家/，而在全球范围内，这德国组织招募和留住安全人才的努力与其他国家/地区不相上下，但他们更