全球各大顶级组织的 CISO 如何在不断升级的威胁环境中保护组织的安全

新的数据显示，走在前列的一批网络安全高管正在投资发展一系列新兴功能（例如，下一代安全信息和事件管理 (SIEM)、终端检测和响应 (EDR)，以及扩展检测与响应 (XDR)），并采取了远远领先于大多数组织的做法，这也让不同组织在弹性方面的差距越来越显著。  

这项由 Elastic 联合发起的研究名为“专为高风险行业打造的网络安全解决方案”，调查了来自 16 个国家或地区和 14 个行业的 1,200 家组织，揭示了他们如何在防御系统方面投资来应对不断加剧的威胁状况；这些组织在网络安全方面的投资总额达 1,252 亿美元。研究公司 ThoughtLab 认为，各组织应该刻不容缓地采取行动。他们发现，有一小部分组织已走在同行的前列，但大多数调查对象必须加快相关流程和技术变革步伐，以提高网络安全策略的有效性，否则将面临落后的风险。 

请下载相关报告，以了解你所在组织的防御水平。

加大对（下一代）SIEM 的投资 

调查显示，近一半 (44%) 的组织希望增强或取代他们的 SIEM。事实上，在未来两年内，SIEM 将会与身份识别和访问管理 (IAM) 共同成为网络安全方面的热点投资领域。 

目前，组织投资最多的网络安全技术包括：电子邮件安全、分布式拒绝服务 (DDoS) 防护、移动设备管理、云访问安全代理、网络安全策略管理、安全信息和事件管理 (SIEM)。然而，在不久的将来，这样的优先顺序看起来会有所不同。在未来两年内，排名靠前的技术投资领域为：SIEM、IAM、DDoS 防护、云工作负载保护平台、电子邮件安全和安全访问服务边缘 (SASE)。

那些还没有优化威胁检测的组织可以参考这些趋势来指导未来规划。马里兰大学医疗系统首席信息安全官 Duc Lai 表示：SIEM 可以提供“更多的可见性和数据点，有助于做出更精细的决策”。 

[了解 Elastic 如何帮助公司在 Log4Shell 漏洞出现之后跨环境记录数据，并在单一平台上集中观测和保护所记录的数据。]

当涉及到取代或加强 SIEM 时，组织应该看重哪些能力？首先，云原生能力是下一代 SIEM 的标志。 

Elastic 首席信息安全官 Mandy Andress 表示：“推动 SIEM 被取代的一大趋势是云技术。随着工作负载迁移到云，监测云部署成为了业务中不可或缺的一个要素。” 此外，虽然旧有 SIEM 也可以采集大量数据，但它们并不总是能嵌入分析。下一代 SIEM 应能够关联和处理数据，无需进行大量的手动工作，即可得出相关见解，从而实现及时响应。

[进一步了解有关 SIEM 的主要考虑因素以及 Elastic 如何满足这些要求。]

使用 EDR 和 XDR 扩展高级分析

EDR 和 XDR 也是组织的首要任务。事实上，五分之一的组织将 EDR 列为了两年来最重要的技术投资。EDR 使用 Machine Learning 来防御勒索软件和恶意软件，检测高级威胁，并为响应团队提供重要的背景信息。说到 Machine Learning，这项技术确实拉大了大多数组织目前存在的差距：只有 26% 的组织表示他们使用高级分析技术（如 AI 和 ML）来识别安全漏洞和威胁。  

[了解 Elastic 为什么能在“The Forrester Wave™：2022 年第 2 季度终端检测和响应提供商”报告中获评“Strong Performer”（卓越表现者）。]

同时，XDR 将 EDR 功能与 Machine Learning 驱动的分析能力相结合，可有效地关联活动和识别威胁。Andress 说：“处理速度和实时分析能力是关键优势。”五分之一的先进组织计划在未来两年内投资 XDR。

有趣的是，在这种情况下，有三分之一的先进组织表示，他们采用可提供一系列功能的多种安全技术来作为“平台”，而不是部署单点解决方案。XDR 通常以一体化安全平台的形式提供，可集成其他多种工具，并为分析人员提供单一参考点。Andress 表示：“更新的 XDR 平台利用多种嵌入式功能解决了更广泛的安全运营，包括使用云专用的开箱即用型规则、通过分析和 Machine Learning 找出异常、通过集成式终端功能进行更快和更深入的调查、通过工作流集成实现响应自动化，等等。”

制定未来云计划 

云投资在过去的一年里增长了 25%（占 IT 支出的百分比）。随着组织逐步扩大对云服务提供商、服务的使用，以及与其他技术的互联互通，人们开始关注云。

随着组织更多地采用云原生技术，他们需要考虑如何安全地实施这些技术。近一半的组织 (49%) 预计，在未来两年内，配置错误将会越来越频繁的出现，进而成为发生数据泄露的一大根本原因，这会远远超过他们最近最严重泄露的任意一项根本原因。在应用程序、系统和服务器上正确配置安全设置和框架，可有效减少攻击者突破防线的机会。

考虑到这一点，对云安全的投资至关重要。各先进组织将云工作负载保护平台列为他们目前投资的第二大最有效的技术，仅次于电子邮件安全。此外，有五分之一的组织表示，他们对终端以外的威胁缺乏可见性，包括网络、云和基础架构。随着越来越多的组织扩展到混合多云环境，云工作负载保护平台可以帮助安全团队保护服务器工作负载，同时获得一致的可见性。

将安全性视为数据挑战

在威胁检测和数据安全方面，领先组织和其他组织之间存在很大差距。从持续监测、异常检测和身份管理等活动所面临的挑战表明，一些组织正在努力获得充分的数据可见性，保障数据安全。

例如，尽管 81% 的先进组织已经管理或优化了检测流程，但其他组织中只有 47% 取得了实际进展。在持续监测方面，66% 的先进组织对自己的评价很高，而其他组织的这一比例为 28%。检测异常和事件也是如此，先进组织的比例为 68%，而其他组织的比例为 25%。 

在数据安全领域，情况也类似。69% 的先进组织已经管理或优化了数据安全，而其他组织只有 44%。总体而言，在身份管理和访问控制方面的成功率相对较低：57% 的先进组织取得了进展，而其他组织只有 24%。 

相当一部分先进组织在这两个领域都在进步。在未来两年的流程举措中，34% 的先进组织会计划投资开发和维护安全监测和威胁检测能力，36% 的组织会计划投资于密切协调网络安全与数据隐私计划。后者是一项顶级流程投资，同时还包括：定期进行风险评估、审计、压力测试和渗透测试；以及制定和维护网络事件响应和恢复计划。

培训和提高团队技能

为应对不断袭来、日益复杂的威胁，需要一支更强大、准备更充分的团队；这对于一个人才短缺的行业来说并不是一件轻而易举的事情。Andress 说：“尽管恶意软件、勒索软件和数据泄露的威胁只会继续上升，但许多安全主管面临的最大挑战是寻找下一代网络安全专业人员。” 

24% 的组织目前都面临着熟练网络安全专业人员短缺的挑战，预计两年后将有 27% 的组织面临这一挑战。先进的组织往往是规模更大、员工更多的企业，拥有更多的 IT 和数据安全人员，自然可以在网络安全准备方面发挥重要作用。

为了应对这一挑战，46% 的组织都在加大投资来提高网络安全和 IT 员工的技能。当考虑到两个最常见的数据泄露原因时，持续培训和对人员的投资就显得更加关键了。各组织预测，网络钓鱼/社交工程和人为错误最有可能成为未来两年数据泄露的主要原因，其次是勒索软件。 

与此同时，CISO 的战略意义更加凸显，对他们组织的业务和数字化转型计划的影响也更大。例如，42% 的组织报告称，CISO 对客户和内部欺诈的管理效果更好。网络安全也正在逐渐演变成高管层的团队工作，首席执行官、首席运营官、首席信息官以及法律、风险、隐私和合规官等个人都将安全视为更重要的战略任务。CISO 发挥更大的作用，与同行开展更广泛的协作，有助于组织将工作重点放在安全意识培训和提高技能上，以减轻内部欺诈等风险。

看看您的策略组合的效果怎么样

您的组织在网络安全方面的做法有哪些地方表现突出？哪些方面有改进的机会？请浏览完整的报告，进一步了解最先进的组织，并评估您自己的网络安全态势。