风险关注点:未打补丁系统和软件是首要风险,54%受访者受此困扰,且多数企业扫描漏洞频率低。同时,48%受访者担心配置错误,43%关注生命周期结束(EOL)系统。这些问题凸显企业网络风险管理漏洞。
优先级策略问题:多数组织基于严重性或漏洞评分系统确定漏洞优先级,忽视资产环境,未考虑资产暴露和安全控制,难以有效管理风险。企业需改进策略,综合多因素确定风险优先级。
高管参与不足:仅13%受访者认为首席信息安全官(CISO)或首席安全官(CSO)负责定义网络安全风险指标,40%高管未定期听取网络安全简报,54%高管对网络安全不感兴趣或认为指标无吸引力。企业应简化指标,定期汇报,使高管理解网络安全风险。
指标衡量转变:组织逐渐关注网络攻击对用户和业务的影响,如用户空闲时间、业务中断、修复和技术支持活动等,但仅35%企业能将风险量化为财务术语。企业应采用网络风险量化方法,将指标纳入高管报告,优化安全投资。
AI工具管理滞后:54%企业已采用AI工具,但安全团队管理能力不足,仅50%企业进行用户培训,31%企业使用工具验证AI提示和响应。企业应加强用户教育,部署验证工具,持续培训评估。
应对AI攻击准备不足:仅37%受访者认为企业有能力抵御AI驱动攻击,企业需投资AI防御和培训,更新威胁情报,以应对此类攻击。
自动化应用不足:51%企业手动评估威胁影响,39%依赖手动网络卫生技术,易出错且效率低。企业应采用自动化工具,基于风险确定漏洞优先级,提升网络安全态势。
框架信任与策略过时:多数企业信任NIST和MITRE ATT&CK等框架,但65%企业网络风险策略规划期超两年,缺乏灵活性,无法应对新威胁。企业应持续使用并扩展框架应用,采用敏捷规划,关注即时威胁。
加剧风险:ChatGPT和Copilot等AI工具的快速采用给企业带来新风险,如数据泄露和滥用,47%受访者担心AI生成代码的漏洞。
提供机遇:AI可助力企业应对网络安全挑战,54%采用AI的受访者希望用其确定威胁和漏洞优先级,57%认为推理是AI最佳功能,50%认为AI可改善威胁管理。企业应投资AI工具,培训员工,优化威胁管理。