在2023網(wǎng)絡(luò)安全成熟度報(bào)告，強(qiáng)調(diào)了哪些行業(yè)和國家擁有最強(qiáng)大的網(wǎng)絡(luò)態(tài)勢，哪些是滯后的，以及最普遍的漏洞；并且還研究了不同行業(yè)、國家和公司規(guī)模的得分，并就如何實(shí)現(xiàn)更好的網(wǎng)絡(luò)姿態(tài)提供建議和最佳實(shí)踐。
　　全球數(shù)字化給企業(yè)帶來一個(gè)直觀的安全風(fēng)險(xiǎn)是攻擊面正在持續(xù)擴(kuò)大。根據(jù)CrowdStrikeFalconSurface公開的數(shù)據(jù)顯示，企業(yè)云環(huán)境中暴露的資產(chǎn)中有30%存在嚴(yán)重漏洞，針對企業(yè)的勒索攻擊、APT攻擊、數(shù)據(jù)泄露等安全事件越來越多，網(wǎng)絡(luò)攻擊方式也趨向復(fù)雜化、利益化。

　　與之相對應(yīng)的是，企業(yè)安全團(tuán)隊(duì)必須防御更多的漏洞，更多的威脅，以及未來指數(shù)級增長的網(wǎng)絡(luò)攻擊復(fù)雜性和資源投入的限制性。

　　而日益嚴(yán)峻的網(wǎng)絡(luò)攻擊也讓引入市場的網(wǎng)絡(luò)安全解決方案的數(shù)量，企業(yè)安全預(yù)算顯著增加。在同一時(shí)期，脆弱性也急劇增加，由此導(dǎo)致的安全漏洞激增導(dǎo)致了巨大的商業(yè)損失，包括前所未有的財(cái)務(wù)和聲譽(yù)損失，突出了組織轉(zhuǎn)變網(wǎng)絡(luò)安全方法的必要性。

　　在2023網(wǎng)絡(luò)安全成熟度報(bào)告，強(qiáng)調(diào)了哪些行業(yè)和國家擁有最強(qiáng)大的網(wǎng)絡(luò)態(tài)勢，哪些是滯后的，以及最普遍的漏洞；并且還研究了不同行業(yè)、國家和公司規(guī)模的得分，并就如何實(shí)現(xiàn)更好的網(wǎng)絡(luò)姿態(tài)提供建議和最佳實(shí)踐。

　　一、總體情況

　　該報(bào)告收集的數(shù)據(jù)超過2年，共150個(gè)國家、幾十個(gè)行業(yè)，在七個(gè)不同的安全領(lǐng)域?qū)M織進(jìn)行評估。這些領(lǐng)域構(gòu)成了一個(gè)整體的網(wǎng)絡(luò)安全戰(zhàn)略。在保護(hù)組織內(nèi)部的關(guān)鍵資產(chǎn)方面，每個(gè)領(lǐng)域都扮演著不同的角色。

　　注：七個(gè)領(lǐng)域分別是數(shù)據(jù)安全；政策、程序和治理；IAM；監(jiān)控和事件響應(yīng)；網(wǎng)絡(luò)安全；端點(diǎn)安全；應(yīng)用程序安全性。

　　主要結(jié)果如下圖所示：
　　金融領(lǐng)域不斷上升的網(wǎng)絡(luò)攻擊數(shù)量對金融穩(wěn)定構(gòu)成威脅，并使網(wǎng)絡(luò)風(fēng)險(xiǎn)成為政策制定者關(guān)注的重點(diǎn)。除此之外，合規(guī)和對財(cái)務(wù)損失的擔(dān)憂促使許多公司實(shí)施網(wǎng)絡(luò)安全措施，這些都是銀行和金融科技得分較高的原因。

　　零售業(yè)和公共行業(yè)的平均得分較低。其中的原因，大概是實(shí)體店&網(wǎng)店的企業(yè)不認(rèn)為網(wǎng)絡(luò)安全是優(yōu)先事項(xiàng)，此外對服務(wù)的速度要求超過網(wǎng)絡(luò)安全。公共部門依賴其客戶，沒有其他選擇，因此沒有優(yōu)先考慮安全問題；此外，他們可能很難吸引到合格的安全專業(yè)人員。

　　中小企業(yè)/組織獲得了最高的網(wǎng)絡(luò)安全成熟度得分。中型組織更重視網(wǎng)絡(luò)安全，并將它作為優(yōu)先事項(xiàng)，往往會投入更多的資源在網(wǎng)絡(luò)安全解決方案。小企業(yè)/型組織攻擊面更小，只需由一個(gè)小的安全團(tuán)隊(duì)即可成功地管理。而非常大的組織成熟度低的原因是，難以防御如此龐大的攻擊面。

　　盡管美國、英國和德國在網(wǎng)絡(luò)安全支出方面有慷慨的預(yù)算，但它們得分并沒有最高，這說明大量的金融投資并不總是轉(zhuǎn)化為高成熟度水平。成熟度較低的具體原因，可能是缺乏適當(dāng)?shù)木W(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化和成熟度戰(zhàn)略規(guī)劃。反之，即使沒有龐大的網(wǎng)絡(luò)安全預(yù)算，只要合理規(guī)劃和支出，企業(yè)也可以實(shí)現(xiàn)卓越的成熟度。

　　挪威在大多數(shù)領(lǐng)域中得分最高。挪威于2003年制定了第一個(gè)國家網(wǎng)絡(luò)安全戰(zhàn)略，使挪威成為全球在這一特定領(lǐng)域制定國家戰(zhàn)略的首批國家之一。隨著網(wǎng)絡(luò)攻擊威脅的發(fā)展，又在2007年和2012年修訂了國家戰(zhàn)略，這也是其得分較高的原因。

　　墨西哥公司得分最低。墨西哥沒有國家網(wǎng)絡(luò)安全計(jì)劃，鼓勵(lì)私營部門獨(dú)立引入自我監(jiān)管計(jì)劃，試圖防范網(wǎng)絡(luò)攻擊。此外，根據(jù)一些研究，墨西哥被列為拉丁美洲國家，大多數(shù)公共和私營部門成為網(wǎng)絡(luò)攻擊的目標(biāo)。

　　以下是各行業(yè)和國家成熟度曲線分布圖：
　　二、應(yīng)用安全

　　應(yīng)用安全指的是應(yīng)用級的安全措施，旨在防止應(yīng)用中的數(shù)據(jù)、代碼被黑客獲取、劫持。其中涉及應(yīng)用開發(fā)、設(shè)計(jì)階段的安全考量，以及在應(yīng)用部署后對其進(jìn)行保護(hù)的產(chǎn)品和措施。簡單來說，應(yīng)用安全是應(yīng)用在開發(fā)流程中加入、測試安全功能的過程，防止應(yīng)用出現(xiàn)安全漏洞和風(fēng)險(xiǎn)。

　　各個(gè)國家在應(yīng)用安全維度的得分如下：
　　各行業(yè)得分如下：
　　最常見的五大問題如下：
　　金融企業(yè)得分最高，這點(diǎn)符合大家的認(rèn)知。金融企業(yè)應(yīng)用常為客戶提供交易服務(wù)，因此安全防護(hù)水平一直保持在較高水準(zhǔn)。金融企業(yè)獲取的一般都是高敏感數(shù)據(jù)，并與用戶銀行賬號存在關(guān)聯(lián)，倘若這些數(shù)據(jù)出現(xiàn)泄露的問題，那么將會給企業(yè)帶來嚴(yán)重打擊。

　　零售公司得分最低，只有可憐的1.45。這是因?yàn)樽罱鼛啄辏貏e是三年疫情期間，零售行業(yè)正在快速增長，而在網(wǎng)絡(luò)安全上卻沒有投入足夠多的資源和人力，導(dǎo)致其整體應(yīng)用安全狀態(tài)處于較低的地位。尷尬的是，零售行業(yè)因數(shù)字化而增長，卻也因數(shù)字化成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)，由此給行業(yè)帶來嚴(yán)峻的網(wǎng)絡(luò)攻擊安全風(fēng)險(xiǎn)。

　　技術(shù)信息泄露和SQL漏洞依舊是應(yīng)用安全領(lǐng)域最為常見的威脅，事實(shí)上，關(guān)于SQL漏洞利用，黑客們已經(jīng)有了非常成熟的方法，并在給應(yīng)用安全領(lǐng)域持續(xù)帶來傷害。

　　值得一提的是，許多歐洲國家在這一領(lǐng)域的得分較低，這似乎和大家的認(rèn)知有所不同，畢竟GDPR以嚴(yán)厲著稱，且已經(jīng)施行的不短的時(shí)間。

　　三、IT安全治理

　　IT安全治理是企業(yè)/組織用來確保IT系統(tǒng)安全的措施。IT安全治理為企業(yè)系統(tǒng)提供監(jiān)督，確保安全風(fēng)險(xiǎn)得到充分緩解，其安全策略往往和業(yè)務(wù)目標(biāo)高度一致，同時(shí)確保企業(yè)/組織符合相應(yīng)的法律法規(guī)。

　　國家得分和概率最高的風(fēng)險(xiǎn)點(diǎn)TOP5如下所示：
　　安全風(fēng)險(xiǎn)和成熟度之間存在著巨大的相關(guān)性。當(dāng)一個(gè)組織在其網(wǎng)絡(luò)安全實(shí)踐中具有高水平的成熟度，那么就有能力識別和減少系統(tǒng)中潛在的安全風(fēng)險(xiǎn)，使得系統(tǒng)在長時(shí)間內(nèi)保持較低的安全風(fēng)險(xiǎn)等級。

　　如上圖所示，IT安全治理風(fēng)險(xiǎn)點(diǎn)top5都是我們所熟知的方向，其中一些問題甚至在20年前就已經(jīng)存在。例如"全局安全更新策略不足"就會導(dǎo)致漏洞反復(fù)出現(xiàn)，并為攻擊者提供了一個(gè)低門檻攻擊途徑，即便如此，依舊有不少組織會忽視更新安全策略。

　　國家方面，得分最高的是德國，反映了一種自上而下的IT安全治理方法，而東南亞地區(qū)在該領(lǐng)域得分較低，其中的原因或許是該地區(qū)網(wǎng)絡(luò)安全法規(guī)、監(jiān)管體系不太成熟。

　　高風(fēng)險(xiǎn)維護(hù)程序漏洞（權(quán)限管理）是所有企業(yè)/組織共同面臨的風(fēng)險(xiǎn)，因?yàn)闄?quán)限管理是IT安全治理的重要一環(huán)，是強(qiáng)化網(wǎng)絡(luò)安全必不可少的途徑。

　　四、身份管理

　　身份與訪問管理也稱為身份管理，是指用于管理數(shù)字身份的IT安全規(guī)程、框架和解決方案。身份管理包括身份的提供與注銷、保護(hù)、驗(yàn)證，以及訪問資源、執(zhí)行某些操作的授權(quán)等。雖然一個(gè)人只有一個(gè)數(shù)字身份，但他們可能有許多不同的賬戶。每個(gè)賬戶可以具有不同的訪問控制。身份管理的首要目標(biāo)是確保任何給定的身份都可以訪問正確的資源。

　　國家和行業(yè)得分如下所示：
　　身份管理最常見的風(fēng)險(xiǎn)點(diǎn)top5如下所示：
　　身份管理是攻擊者在網(wǎng)絡(luò)攻擊中最常利用的方向，但是它也給企業(yè)/組織提供了一個(gè)快速改進(jìn)的機(jī)會。能源和科技作為新興的行業(yè)，因而以一種十分顯著的方式迅速提高了成熟度。

　　和之前的調(diào)查結(jié)果一樣，身份管理最常見的風(fēng)險(xiǎn)點(diǎn)top5是當(dāng)下企業(yè)中十分常見的場景。令人驚訝的是，弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗(yàn)證機(jī)制的組合讓黑客入侵更加便捷，或者說這樣的攻擊并不需要黑客技術(shù)，攻擊者只需要登錄即可。而當(dāng)訪問權(quán)限“允許訪問包含敏感信息”時(shí)，黑客可以毫不費(fèi)力氣地訪問敏感數(shù)據(jù)。

　　能源企業(yè)/組織在該領(lǐng)域內(nèi)得分最高，這是因?yàn)槭汀⑻烊粴獾绕髽I(yè)一般是國家的關(guān)鍵基礎(chǔ)設(shè)施，隨著關(guān)鍵基礎(chǔ)設(shè)施成為敵對國家的重點(diǎn)攻擊目標(biāo)，能源企業(yè)只能拼命提高安全成熟度。

　　阿拉伯聯(lián)合酋長國僅僅獲得1分，原因是缺乏對這個(gè)問題的認(rèn)知和重視。美國、英國和澳大利亞早在1998年就制定了打擊身份盜竊的法律和政策，而阿聯(lián)酋幾年前才開始研究這個(gè)問題。直到2012年，阿聯(lián)酋才制定了《網(wǎng)絡(luò)犯罪法》，該法律仍然沒有具體解決身份盜竊和IAM問題。

　　五、網(wǎng)絡(luò)安全

　　網(wǎng)絡(luò)安全保護(hù)企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)免受破壞、入侵和其他威脅。這是一個(gè)龐大的、概括性的術(shù)語，它描述了硬件和軟件解決方案，以及與網(wǎng)絡(luò)使用、可訪問性和整體威脅防護(hù)相關(guān)的流程或規(guī)則和配置。網(wǎng)絡(luò)安全涉及訪問控制、病毒和防病毒軟件、應(yīng)用程序安全、網(wǎng)絡(luò)分析、網(wǎng)絡(luò)相關(guān)安全類型(端點(diǎn)、Web、無線)、防火墻、VPN加密等。

　　國家和行業(yè)得分如下所示：
　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)top5：
　　令人驚訝的是科技公司在這一領(lǐng)域表現(xiàn)不佳。雖然他們雇用精通技術(shù)的人員，但這些員工往往回避處理和維護(hù)網(wǎng)絡(luò)級別的安全問題，因?yàn)槔锩嫔婕暗揭恍┑图壍摹⑵降瓱o奇的工作。技術(shù)人員更傾向于實(shí)現(xiàn)發(fā)展目標(biāo)，從而使網(wǎng)絡(luò)安全的總體狀況缺乏。這一責(zé)任往往落在經(jīng)驗(yàn)較少的人員身上，從而給行業(yè)帶來不佳的評分。另一個(gè)因素是，這是一個(gè)跨組織的長期努力，人們傾向于專注于他們特定的團(tuán)隊(duì)和子網(wǎng)絡(luò)，以便更快地完成工作，而不是通過跨組織的總體努力來獲得最好的結(jié)果。

　　國家方面，墨西哥得分最低。“墨西哥金融系統(tǒng)中的網(wǎng)絡(luò)安全狀況”報(bào)告分析了墨西哥金融部門的網(wǎng)絡(luò)安全，只有33%的公司使用加密控制和端點(diǎn)安全工具，只有54%的公司使用網(wǎng)絡(luò)安全工具（VPN、NAC、ISE、IDS/PS、網(wǎng)絡(luò)通信、安全電子郵件等）。

　　服務(wù)業(yè)得分遙遙領(lǐng)先，盡管在網(wǎng)絡(luò)安全方面，它并不是人們所期望的領(lǐng)導(dǎo)者。主要原因可能是客戶正在推動(dòng)供應(yīng)商應(yīng)用高級別的安全措施，并把它作為開展業(yè)務(wù)的先決條件。這一領(lǐng)域的主要發(fā)現(xiàn)強(qiáng)調(diào)了2019冠狀病毒病的影響，為了允許遠(yuǎn)程工作新冠肺炎迫使許多環(huán)境變得面向互聯(lián)網(wǎng)。

　　六、安全運(yùn)營中心（SOC）

　　安全運(yùn)營中心(SOC)是一個(gè)容納信息安全團(tuán)隊(duì)的設(shè)施，該團(tuán)隊(duì)負(fù)責(zé)持續(xù)監(jiān)控和分析組織的安全態(tài)勢。SOC團(tuán)隊(duì)的目標(biāo)是使用技術(shù)解決方案和一套強(qiáng)大的流程組合來分析、檢測和響應(yīng)網(wǎng)絡(luò)安全事件。安全運(yùn)營中心通常配備安全分析師和工程師，以及監(jiān)督安全運(yùn)營的管理人員。SOC工作人員與組織的事件響應(yīng)團(tuán)隊(duì)密切合作，以確保安全問題一經(jīng)發(fā)現(xiàn)即迅速得到解決。安全運(yùn)營中心監(jiān)控和分析網(wǎng)絡(luò)、服務(wù)器端點(diǎn)、數(shù)據(jù)庫、應(yīng)用程序、網(wǎng)站和其他系統(tǒng)上的活動(dòng)，尋找可能表明安全事件或安全漏洞的異常活動(dòng)。SOC負(fù)責(zé)確保正確識別、分析、防御、調(diào)查和報(bào)告潛在的安全事件。

　　國家和行業(yè)得分如下所示：
　　安全運(yùn)營中心風(fēng)險(xiǎn)點(diǎn)top5：
　　安全行動(dòng)監(jiān)測和事件反應(yīng)往往不能迅速改進(jìn)，因?yàn)樗枰欢螘r(shí)間的戰(zhàn)略投資，它的改進(jìn)必須來自于技術(shù)、人員和過程的結(jié)合。金融行業(yè)依舊是該領(lǐng)域的領(lǐng)導(dǎo)者，因?yàn)樗鼈儦v來投資于縮短響應(yīng)時(shí)間，控制網(wǎng)絡(luò)事件，并最終減少資金損失。隨著網(wǎng)絡(luò)安全法規(guī)的健全，其他行業(yè)和金融行業(yè)的差距將會縮小。

　　國家方面，克羅地亞排名第一。2020年，美國在薩格勒布建立了一個(gè)新的網(wǎng)絡(luò)安全運(yùn)營中心和一個(gè)移動(dòng)網(wǎng)絡(luò)事件響應(yīng)小組。在2022年，美國網(wǎng)絡(luò)司令部歷史上第一次部署了一支精英防御網(wǎng)絡(luò)運(yùn)營商團(tuán)隊(duì)到克羅地亞，以尋找合作伙伴網(wǎng)絡(luò)上的惡意網(wǎng)絡(luò)活動(dòng)。這一努力是在中歐和東歐國家高度警惕與俄羅斯和烏克蘭之間的戰(zhàn)爭有關(guān)的網(wǎng)絡(luò)攻擊的時(shí)候進(jìn)行的。這些或許是克羅地亞在領(lǐng)域得分高的主要原因。

　　值得一提的是，監(jiān)控其實(shí)是第二道防線，但組織錯(cuò)誤地將其視為第一道防線。這方面零售行業(yè)表示十分明顯，組織應(yīng)該警惕被動(dòng)的網(wǎng)絡(luò)安全策略，并優(yōu)先考慮在監(jiān)控之前適當(dāng)投資于保護(hù)性策略和技術(shù)。

　　七、敏感數(shù)據(jù)管理

　　敏感數(shù)據(jù)是個(gè)人或組織不希望公開的信息，例如個(gè)人的信用卡信息或醫(yī)療記錄，一旦被公開往往給企業(yè)和用戶帶來危害。當(dāng)企業(yè)尋求保護(hù)敏感信息時(shí)，他們需要持續(xù)了解其復(fù)雜的生態(tài)系統(tǒng)。隨著數(shù)字化轉(zhuǎn)型戰(zhàn)略的加速，網(wǎng)絡(luò)安全和隱私變得更加重要，實(shí)時(shí)了解新風(fēng)險(xiǎn)，以快速緩解威脅，并保護(hù)敏感數(shù)據(jù)對企業(yè)來說將變得更加重要。

　　國家和行業(yè)得分如下：
　　敏感數(shù)據(jù)管理風(fēng)險(xiǎn)點(diǎn)top5：
　　令人驚訝的是，作為對個(gè)人信息最敏感的行業(yè)之一，醫(yī)療保健竟然排名最低。這表明該行業(yè)對個(gè)人信息問題的認(rèn)識嚴(yán)重不足，即使在我們委托提供最敏感信息的組織中也是如此。“沒有從文件共享中刪除敏感數(shù)據(jù)”是最常見的漏洞之一，表明文件共享是整個(gè)域中的薄弱環(huán)節(jié)。

　　國家方面，許多必須遵守GDPR法規(guī)的歐洲國家仍然沒有達(dá)到應(yīng)有的網(wǎng)絡(luò)安全水平。但值得一提的是，與其他領(lǐng)域相比，敏感數(shù)據(jù)管理的成熟度得分相對較高。這主要得益于法規(guī)(GDPR、CISA)方面的約束，這些法規(guī)將數(shù)據(jù)安全視為所有網(wǎng)絡(luò)安全要求的基礎(chǔ)。

　　八、端點(diǎn)安全

　　端點(diǎn)安全是指為解決網(wǎng)絡(luò)端點(diǎn)所面臨的威脅而采取的安全措施，網(wǎng)絡(luò)端點(diǎn)是指服務(wù)器、工作站、筆記本電腦和移動(dòng)設(shè)備等設(shè)備。

　　國家和行業(yè)得分如下：
　　端點(diǎn)安全風(fēng)險(xiǎn)點(diǎn)top5：
　　調(diào)查數(shù)據(jù)顯示，過時(shí)的技術(shù)是影響企業(yè)/組織整體網(wǎng)絡(luò)安全水平的一個(gè)重大挑戰(zhàn)。從上圖中可以看到，中小企業(yè)在該領(lǐng)域的得分最高，這是因?yàn)樵诙它c(diǎn)安全中有著諸多嚴(yán)格的規(guī)則，和大型企業(yè)相比，中小企業(yè)更容易執(zhí)行這些規(guī)則。

　　國家方面，挪威獲得了最高分，因?yàn)樗黾恿藬?shù)字防御支出，以保護(hù)該國的關(guān)鍵IT基礎(chǔ)設(shè)施免受來自敵對國家網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。尤其是在俄烏戰(zhàn)爭中，挪威對烏克蘭進(jìn)行軍事和貿(mào)易支持，導(dǎo)致其面臨的網(wǎng)絡(luò)安全威脅上升，進(jìn)一步增加了在該領(lǐng)域的投入。

　　九、總結(jié)

　　本報(bào)告介紹了CYE對網(wǎng)絡(luò)安全趨勢和最佳實(shí)踐的分析結(jié)果。基于對可用數(shù)據(jù)的審查，得出以下可增強(qiáng)任何組織內(nèi)系統(tǒng)和數(shù)據(jù)安全性的建議：

　　(1)投資于能力而不是工具。企業(yè)/組織往往熱衷于投資工具，這會帶來更大的攻擊面，而不是更多的能力，尋找一家供應(yīng)商，通過將技術(shù)、人員和流程相結(jié)合，以管理組織風(fēng)險(xiǎn)并使組織能夠重新控制其網(wǎng)絡(luò)彈性，從而用功能取代工具。

　　(2)制定網(wǎng)絡(luò)安全董事會級別問責(zé)制。董事會必須參與公司網(wǎng)絡(luò)網(wǎng)安的決策，這是管理層了解風(fēng)險(xiǎn)和保護(hù)公司所需的財(cái)務(wù)投資水平的唯一方法。

　　(3)全面評估安全態(tài)勢，量化企業(yè)安全風(fēng)險(xiǎn)，并根據(jù)數(shù)據(jù)優(yōu)先考慮緩解措施。為了正確地優(yōu)先考慮緩解和分配資源，組織需要了解自身風(fēng)險(xiǎn)。通過識別來自所有攻擊面的威脅，評估哪些漏洞和發(fā)現(xiàn)與企業(yè)/組織密切相關(guān)，以及漏洞、威脅對企業(yè)關(guān)鍵業(yè)務(wù)資產(chǎn)的威脅度，從而實(shí)現(xiàn)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化。考慮關(guān)鍵資產(chǎn)的財(cái)務(wù)背景，并使用統(tǒng)計(jì)數(shù)據(jù)來估計(jì)這些資產(chǎn)遭到破壞的可能性。圍繞這些數(shù)據(jù)規(guī)劃緩解措施，同時(shí)投資于解決根本原因問題的全面解決方案。