Ivanti 预测,勒索软件将成为 2025 年的最大威胁,这一点尤其令人担忧,因为 38% 的安全专家表示,在人工智能的帮助下,勒索软件将变得更加危险。
与威胁级别相比,只有 29% 的安全专家表示他们对勒索软件攻击做好了充分准备- 准备程度存在巨大差距(29%),凸显了采取更强有力的安全措施的必要性。
安全领导者对风险管理有深入的理解
我们需要一种更复杂、适应性更强的网络安全方法,这种方法要考虑到业务风险和回报之间的权衡,而不是仅仅关注绝对保护。风险管理为在这种复杂环境中管理和降低风险提供了更有效的解决方案。
Ivanti 的研究表明,人们对风险管理的概念有很好的理解。例如,49% 的安全专业人士表示,其公司领导对风险管理有很高的理解。然而,企业并未采取措施采用这种做法。只有 22% 的企业表示,他们将在 2025 年增加对风险管理的投资。
在打破数据和组织孤岛方面,大多数组织仍继续照常运营。88% 的安全专家报告了重大的数据盲点,即缺乏足够的数据来做出明智的安全决策的区域,例如影子 IT、补丁合规性、供应商风险管理信息和依赖关系映射。
44% 的人表示,由于安全/IT 关系紧张,他们难以管理安全风险。40% 的人表示,IT 和安全团队对相同活动使用不同的工具。
52% 的安全专家将 API 和软件漏洞评定为高至严重威胁,但许多组织缺乏对这些风险的可见性。
企业领导者现在必须习惯于考虑网络风险对更广泛的业务风险的影响。风险管理是一种工具,可帮助组织评估一系列目标(包括业务目标)中的漏洞和风险,以谨慎地平衡安全性和运营。
要使风险管理取得成功,组织应确保安全部门与其他部门之间的协作,进行符合组织风险偏好的风险评估,并优先缓解最具影响力的漏洞。
解决技术债务问题
尽管 83% 的安全团队声称拥有用于识别风险承受能力的记录框架,但其中 51% 的人表示他们当前的框架并未得到严格遵循,这使得它几乎与根本没有框架一样无效。
在安全和领导专业人士中,三分之一的人表示技术债务是一个严重的问题,它危及安全态势并阻碍增长和创新。
例如,37% 的人表示他们无法坚持基本的安全实践,43% 的人表示他们的系统由于累积的技术债务更容易受到安全漏洞的影响。在那些将技术债务视为组织内“极其严重”问题的人中,71% 的人表示增长放缓。43% 的人表示技术债务减缓了创新。
组织越来越多地向其 CISO 寻求战略业务建议,包括有关采用 AI和供应链风险管理的指导。董事会也越来越多地参与其中。
研究表明,网络安全已成为董事会层面的讨论话题。89% 的受访者表示,网络风险在董事会层面得到讨论,88% 的受访者表示,CISO 被邀请参加有关业务决策、组织规划等的高层战略会议。
然而,许多 CISO 的工作主要关注的是停机风险,而不是着眼于更大的前景。
