2022 年全球网络 安全态势报告 全球性调研报告：安全领导者最为关注的云完 整性问题、人才紧缺问题以及当前最为紧迫的 攻击威胁 全球威胁仍未消减 2022 年全球网络安全态势仍处于高位运行状态，严重程度远超以往。 致命且破坏力巨大的全球疫情已持续两年，在这期间，我们不仅看到 了越来越多的攻击，还见证了越来越多数据泄露事件的发生。 Splunk 联合市场调研机构Enterprise Strategy Group (ESG)针对1200多名 安全领导展开的一项调查显示：49% 的组织表示他们在过去两年中遭受 过数据泄露，高于我们一年前调查中的 39%。尽管某些攻击威胁在过去一 两年中占据了头条新闻，但对于犯罪分子来说，传统剧本仍然可以助其发 动攻击： ■ 51% 的人报告称商务邮件受到攻击，高于一年前的 42%。 ■ 39% 的组织报告遭受了内部攻击，高于一年前的 27%。 ■ 79% 的人表示遭受过勒索软件攻击，35% 的人承认，曾有一次或多次攻击 导致其无法访问数据和系统的情况发生。 此外，40% 的受访者报告遭遇到违规行为（高于一年前的 28%）。攻击越 来越复杂、人材短缺现象愈加严重，连同疫情带来的挑战，使得安全运营 中心 (SOC) 寸步难行。 2022 全球网络安 全态势报告 02 全球威胁仍未消减 • 安全团队已然落后 • 远程工作人员仍然面临挑战 • 供应链问题是首要问题 • 勒索软件：剧本和结果 • 安全团队因人才危机而踯躅不前 11 云的现状：业务关键基线 • 云阻碍安全可视化 13 应对日益严峻的挑战 • 人才解决方案 • 分析和自动化越来越重要 • 向 DevSecOps 转变 18 前进的道路 20 重要建议 • 行业数据 23 附录 • 行业数据 • 典型国家/地区 全球威胁仍未消减 是否表明攻击者更容易取得成功，目前尚未得知，或者 正如 Splunk 著名安全策略专家 Ryan Kovar 所指出的 那样，这是一个有关因果关系与相关性的话题。是入侵 者更擅长穿透我们的防御，还是安全团队更擅长检测 入侵者？答案可能是“都有”，进攻和防御提升了较量双 方的各个方面。 “勒索软件颠覆了这一点，它们会主动告诉你，你已经被 攻击了。”Kovar 说，“而一般意义上的攻击者，都希望能 够在不被检测到的情况下进出受害者系统。” 至于为什么安全团队会检测到越来越多的泄露事件， 他们可以暂且不管，只需加大劳动强度，付出比以前更 多的精力。 总体来说，59% 的安全团队表示，在补救修复方面，他 们将不得不投入更多时间和精力（一年前为 42%）。 44% 的受访者表示，他们都受到过业务中断（一年前为 35%）带来的影响，另 有 44% 的人表示，他们丢失过 机密数据（一年前为 28%）。 方法学 研究人员调查了 1227 名安全 和 IT 领导者，他们一半以上的 时间都花在安全问题上。 11 个国家 澳大利亚、加拿大、法国、德国、 印度、日本、荷兰、新西兰、新加 坡、英国、美国 15 个行业 航空航天和国防、消费品、教育、金融服务（银行、证 券、保险）、政府（联邦/国家、州和地方）、医疗卫生、技 术、生命科学、制造、媒体、能源、零售/批发、电信、运 输/物流、公用事业 2022 全球网络安全态势报告 | Splunk 03 全球威胁仍未消减 事故带来的损失并非只存在于理论之中，受到影响的也绝非仅安 全预算一项。除了业务受损、支付赎金以及声誉受损之外，停机也 会给整个组织造成不可估量的损失大多数受访者 (54%) 都认为， 受网络安全事件影响，业务关键型应用至少一个月就会经历一次 计划外停机，平均一年停机 12 次。 换言之，攻击者和防御者之间的战斗将会因为复杂性的增加而进一 步恶化。混合、多云环境日益复杂，不仅托管了现代云原生和微服 务架构应用，也托管了以前留下的老旧技术，在当前情况下，我们 需要确保每个人都能远程登录这些应用和技术。 此外，因网络安全事件而遭受计划外停机的业务关键型工作负载 的平均恢复时间为 14 小时。我们要求受访者估算一下因业务关键 型应用停机而造成的损失（以小时计），整个调查样本的平均损失 约为 200000 美元。由此我们可以算出，如今组织每年因网络安全 攻击而造成的平均停机成本约为 3360 万美元。 安全团队需要全面了解其云基础设施并实现可视化，聚焦云端运 行情况。他们面临的新挑战主要涉及安全配置、软件漏洞、合规以 及维护所有访问和活动的审计跟踪需求等方面。同时，他们需要重 新审视基于新型攻击链的针对特定组织的威胁模型 让我们看看进展如何。 网络攻击导致频繁停机 21% 19% 14% 16% 11% 19% 每周一次或更频繁 每隔几周一次 每月一次 每隔几月一次 每隔几季度 一次 每年一次或更少 1% 不知道 54% 报告至少每月停机一次 2022 全球网络安全态势报告 | Splunk 04 全球威胁仍未消减 安全团队已然落后 为什么安全性越来越难* 64% 的受访者表示，近年来满足安全要求变得越来越困难，而一年前这一比例为 49%。主要原因包括： 威胁增加，复杂性提升，人员减少。 ■ 凶险的威胁态势（38% 的受访者；低于去年的 48% 但仍排名第一）。 ■ 极其复杂的安全堆栈（30%，去年为 25%，并且位列第五）。 ■ 熟练劳动力的招聘和挽留问题（均为 29%，均比去年略有上升）。 安全团队面临的最大挑战包括： ■ 过度关注合规性而非最佳实践（29%，去年为 23%，并且位列第四）。 ■ 花太多时间处理紧急情况（28%，去年为 26%，并且位列第二）。 ■ 疲于应对管理安全技术的复杂性（从 24% 上升到 26%，保持其作为第 三大挑战的地位）。 ■ 应对人手不足的挑战（26%，高于去年的 22%，是第五大挑战）。 总的来说，对合规性的必要关注、太多时间处于被动地位，以及太多复杂性和人员 太少的挑战，共同分散了 SOC 对新兴威胁的关注。 38% 48% 威胁态势变得越来越复杂 30% 25% 我们的安全堆栈和正在使用的工具/供应商的数量变 得极其复杂 29% 24% 我们越来越难以留住熟练的安全资源来处理工作负 载 29% 28% 我们越来越难以找到/雇佣足够的熟练安全资源来处 理工作负载 28% 32% 将工作负载转移到公有云增加了监控攻击面的难度 28% 21% 我们忙于应对日常攻击，无暇改进我们的工具和流程 来支持不断扩大的攻击面和威胁形势 27% 20% 警报的数量越来越多，让我们应接不暇 2022 2021 * 提及次数最多的 7 个回答 2022 全球网络安全态势报告 | Splunk 05 全球威胁仍未消减 远程工作人员仍然面临 挑战 2020 年初新冠肺炎疫情的出现为安全专家带来了前所未有的挑战， 正如我们在去年的报告中指出的，安全、IT 和业务团队之间的协作 和合作达到了新的水平。两年后，许多挑战仍然令人烦恼，其中最 让人无奈的，莫过于远程工作了。 与疫情之前相比，平均而言，组织需要支持两倍数量的远程员工。 尽管现在的平均水平（46% 的劳动力）比 2021 年低 10 个百分点， 但仍看不到回到疫情前水平的迹象。组织预计 12 个月后，41% 的 员工将保持远程办公。因此，90% 的人都认为有必要调整安全控 制和策略。 这种向远程工作方式的转变为运营带来了挑战，包括：确保对企业 网络的访问（29% 的受访者提到），确保使用中的设备得到安全配 置 (28%) 以及确保实现对云资产的安全访问 (27%)。 远程工作：昨天，今天，明天 远程工作激增，预计不会减少。 21% 46% 41% 的员工在疫情前远程工作 的员工如今远程工作 的员工预计将在一年后远程工作 2022 全球网络安全态势报告 | Splunk 06 全球威胁仍未消减 远程工作和其他疫情措施给 IT 组织和业务部门带来了压力，但安全团队 受到的冲击最为严重：80% 的受访者表示，SOC 必须不断创建和实施新 的威胁检测规则，以满足远程员工的需求。 此外，65% 的组织发现网络攻击企图明显增加，这个问题尤其严重，因为 78% 的组织表示远程员工更难保护。 正如上面提到的成功入侵，这些上升的数字不一定仅仅是由扩散攻击造成 的。组织在检测攻击方面也可以变得越来越好。 在这种情况下，受访者仍将攻击的增加部分归因于远程工作带来的更大的 攻击面。 远程工作，不断增加的攻击 26% 39% 29% 是，我们看到了攻击显 著增加 是，略有增加 不，情况几乎没变 65% 网络攻击明显增加，并将其归因于更多的远程工作 2% 不，显著下降 3% 不，我们看到略有 下降 2022 全球网络安全态势报告 | Splunk 07 全球威胁仍未消减 供应链问题是首要问题 自 2020 年末发现 SolarWinds 黑客攻击以来，随后是 Kaseya 攻 击、Log4Shell 和其他攻击，围绕供应链攻击一直有很多讨论。2021 全球网络安全态势调查是在 SolarWinds 披露后两个月进行的，当 时只有 47% 的首席信息安全官(CISO)就供应链风险向董事会或高 管层做了简报。一年后，由此引发的讨论仍然持续不断，促使企业 采取战略行动。 90% 的组织（几乎所有人）报告说，正是受到这些臭名昭著的攻 击的影响，他们才更加注重对第三方风险的评估。事实上，61% 的 CISO现在会定期向他们的董事会和/或业务主管汇报这一领域的 活动情况，而这一数据在（一年前为 47%，也就是SolarWinds 攻击 事件后仅仅两个月）。 “所有这些都是一个巨大的变化。”Kovar 说。“在我从事 IT 安全工作 的 20 年中，我从未见过软件供应链威胁可视化达到过这种水平。” 这种变化可能不完全是一种炒作反应。40% 的受访者表示，他们 的组织受到了供应链攻击的影响。Kovar 说，供应链攻击将很快改 变软件的买卖方式。 “我们可能会看到买家需要 SBOM，也就是软件材料清单。”他说。“ 它将列出复杂软件包中的元素，以便在发现供应链攻击时，你可以 快速知道自己的组织是否易受到攻击。” 在我们的调查中，对这类攻击的关注导致 97% 的组织都采取了某 种措施。大多数情况下（33%，同比增长 2%），受访者都提高了在 网络安全方面的预算。同样重要的，是CISO们需要具备督促业务 领导和董事会参与进来的能力。54% 的受访者表示，这样的讨论 加速了行动，另有 38% 的人表示，如果没有这些讨论，这些行动就 不会发生。 对日益增多的供应