網路資安威脅
資安長頭號挑戰:30%苦於人才荒,25%受預算限制,覓才留才兩頭難
趨勢科技在2024 年首次全球巡迴資安展 (World Tour) ,針對全球 49 個國家 750 名網路資安人員進行了一次問卷調查,以進一步了解當前的網路資安現況,問卷內容從工作壓力到是否需要更進階的工具等包羅萬象,來看看資安長怎麼說。
今日的網路駭客集團擁有比以往更多的工具來中斷企業營運、竊取資料以勒索贖金,並誘騙員工讓他們洩露機敏資訊。生成式 AI (GenAI) 正在將這些能力提升到全新境界,透過深偽 (deepfake) 音訊及視訊來強化網路釣魚攻擊。
不僅如此,隨著企業執行長和董事會越來越了解資安威脅對企業在法律、財務及商譽上的風險,資安專家也面臨了全新壓力。
為了解這些趨勢及其他發展如何影響全球網路資安人員的日常生活,趨勢科技首次舉辦了全球巡迴資安展問卷調查 (Risk to Resilience World Tour Survey),針對全球 49 個國家 750 多名網路資安人員進行了一次問卷調查,主要鎖定四種企業內職務:
- 資安長 (CISO)
- 資安營運中心 (SOC) 團隊
- IT 營運人員
- 雲端防護工程師
本文討論我們從受訪的資安長所得到的發現,至於其他職務的相關發現,請參閱這份完整報告「防禦人員」(The Defenders)。
資安長成為焦點
隨著資安威脅逐漸成為企業風險管理的討論重點,資安長也成為了焦點。不論是 AI、雲端、混合上班模式,或是 IT 環境的其他面向,資安領導人都被期望能提出適當的回應。為此,他們需要更多的資源來克服這些挑戰。
從支出成長就能證明網路資安是第一要務
絕大多數資安長 (61%) 都表示他們 2024 年的預算都比前一年更高。這意味著,網路資安長久以來被視為成本中心的觀念已逐漸轉變,企業開始意識到它對營運的核心意義。
但即便如此,仍有 25% 的資安長表示預算的限制是他們留任及聘任網路資安人才的頭號挑戰,僅次於人才與知識的短缺 (30%)。增加招募預算也許能有所幫助,但卻無法保證所需的人才和知識唾手可得,反倒是資安長也許能在策略當中加入 AI 來彌補前述的不足,減輕既有團隊的負擔,讓他們完成更多工作,甚至提升效率。
並非隨時都有共識
資安長普遍認為,企業董事對於網路資安風險與挑戰已有充分的理解。在 1 至 5 分的評分中,89% 的資安長認為其董事會的理解程度為 3 分或更高,甚至有 24% 給了董事會滿分 5 分的評價。當被問及他們覺得哪些方面的溝通最為困難時,最多人回答的是「策略或風險的溝通」(23%) ,其次是「證明資安工具與人員花費的正當性」(17%)。
這些結果顯示,在董事會的層次,了解風險並不代表知道該如何防範。在另一份針對 2,600 名 IT 領導人的全球調查中,有 80% 的受訪者表示董事會唯有在發生重大資安事件或財務損失時才會採取更果決的行動來對抗業務風險。根據 IBM 的「2024 年資料外洩成本報告」(Cost of a Data Breach Report 2024),這類損失的平均成本正持續攀升 (2024 年 2 月已較前一年同期成長 10%,達到 488 萬美元),突顯出主動管理風險的重要性。
持續的參與,以及交叉關聯的資料,將成為資安長能否為董事會提供關鍵資訊的重要關鍵。結合了監測資料、資訊、洞見以及「次世代資安事件管理」(NGSIEM) 系統等新興技術的整合式平台,將有助於提供這兩項支援。
邁向資安風險管理的途徑正在匯流
資安長與資安團隊正在與有限的資源搏鬥,IT 營運正在追求更大的整合,雲端防護工程師則致力提升可視性。這所有需求都能透過 AI 自動化、情境化資料,以及將平台式方法融入網路資安來加以解決。
若能將資安彙整到一套可整合第三方工具的單一平台當中,就能滿足資安領導人的需求,實現更大的彈性、更高的效率,並減少工具的氾濫,同時降低整體持有成本 (TCO)。
這套方法既能達成資安團隊的要求,尊重企業迄今為止的投資,同時又能徹底改變工作模式,帶來更棒的使用者體驗與資安成果。此外也更容易取得豐富的監測資料,讓團隊做出更主動、更有效的風險矯正決策。
Trend Vision One™ 能實現平台式方法的效益,提供全方位的保護、防範、偵測及回應功能,而且全都以 AI 及領先的威脅研究和情報為後盾。它能支援各種混合 IT 環境,協調及自動化工作流程,並提供網路資安專家服務來簡化並全面整合資安營運,同時還能評估整體的風險管理成效,進而與利害關係人溝通。
探索更多參考資源:
- 閱讀完整報告
- 觀賞有關 Trend Vision One™ – Attack Surface Risk Management (ASRM) 的影片
- 探索我們的 Trend Vision One 平台