2024年网络安全现状报告-ISACA

2024年网络安全现状录4执行摘要5调查方法8网络安全劳动力挑战8/人员配置9/人员保留11/职位空缺11/填补职位空缺所需时间12/分析空缺职位12/未来需求15/人员流失15/雇主福利正在减少17人才储备进展17/合格的申请者20/大学洞察22/合格劳动力问题22/按职业阶段划分的专业发展需求22/人力资本缓解措施27网络安全预算呈下降趋势29网络攻击、检测和威胁行为者33网络风险34/网络保险36安全运营：聚焦人工智能38结论：关注网络安全就绪性39致谢32024年网络安全现状：全球劳动力、资源与网络安全运营更新报告《2024年网络安全现状：全球劳动力、资源与网络安全运营更新报告》呈现了ISACA③年度全球网络安全状况调查的结果，该调查于2024年第二季度进行。本调查报告聚焦于网络安全劳动力发展、人员配备和预算、威胁形势、网络风险以及人工智能(AI)使用的当前趋势。尽管过往的年度网络安全报告并未显示观点或趋势的重大转变，但2024年的调查数据揭示了多项变化，这些变化可能会对网络安全就绪状态产生不利影响。执行摘要ISACA第十届年度全球网络安全状况调查继续识别网络安全领域的当前挑战和趋势，同时ISACA继续扩展其纵向报告，在《2024年网络安全现状》报告中提供调查结果年度比较。今年的报告分析网络风险的调查结果，并新增了人工智能(AI)相关内容。与前一年相比，一些调查结果数据没有变化，而其他数据则强化了去年的发现，即市场不确定性正产生显著影响———特别是在预算和薪酬方面，这可能会对网络安全就绪工作产生不利影响。·老龄化劳动力正在增长。十年来首次，最大比例的受访者年龄在45至54岁之间(34%)。该年龄组超过了35至44岁的受访者(30%)。这以及管理经验不足三年的员工的受访者数量没有增加，都在警示行业领导者要考虑制定继任·今年的调查结果显示，人员的配置水平略有改善。38%的受访者认为其网络安全团队人员配置适当，较去年的结果提高了2个百分点。认为团队人员略显不足的受访者(43%)较去年下降了3个百分点。分析显示，人员配置水平与企业是否使用AI来缓解短缺之间没有关系。·66%的受访者报告称，职业压力比五年前高得多81%的受访者将压力增加归因于日益复杂的威胁环境。·各级空缺的网络安全职位继续减少。调查数据显示，技术和非技术个人贡献者职位空缺急剧下降。网络安全经理职位下降了9个百分点(从60%),降至网络安全状况调查有史以来的最低水平。高级经理/主管职位空缺连续第三年减少。网络安全高管职位也是如此，但程度不那。经济状况似乎阻碍了员工离开当前工作岗位——尤其是在美国。今年网络安全专业人员选择离职前两大原因的受访者减少了被其他公司挖角下降了8个百分点至50%,财务激励不足下降了4个百分点至50%。选择因工作压力水平高而离职的受访者跃升至46%比去年的调查结果高出3个百分点。雇主与员工之间关于重返办公室的持续争议可能导致比去年多了4%的受访者将远程工作可能性有限视为经济状况似乎阻碍了员工离开当前工作岗位—。雇主福利正在缩水。为专业发展培训支付费用的雇主减少，比去年的调查结果下降了7个百分点。提供弹性工作时间的雇主今年也出现类52024年网络安全现状：全球劳动力、资源与网络安全运营更新报告·网络安全实践经验继续成为确定候选人是否合格的主要因素。虽然对资格证书和实践培训的看法没有变化，但受访者对前雇主推荐和大学学位的重视程度降低。受访者报告协会会员资·利用培训让有兴趣的非安全专业人员转向安全岗位以及增加使用承包商或顾问仍然是弥补网络安全技术技能差距的主要措施。培训减少了4个百分点，而使用承包商或顾问的比例增加了2个百分点。继去年下降之后，通过增加采用AI或自动化来解决人员短缺问题回升至23%。使用学徒或实习生减少了3个百分点。·今年网络安全资金水平大幅下降，其逐年递减显示出多年下跌的迹象。只有36%的受访者表示他们的网络安全预算资金充足，44%的受访者认为他们的预算资金略显不足—增加了4个百分点。只有47%的受访者认为预算会增加，41%的受访者报告预算将保持平稳。13%的受访者预计明年预算将缩减持这一观点的受访者比例自2022年以来逐年增加。调查方法2024年第二季度，ISACA向全球网络安全专业人这些专业人士持有ISACA颁发的注册信息安全经理(CISM)认证或拥有在信息安全领域注册的职调查使用多项选择和李克特量表格式，向受访者提·威胁态势数据几乎没有变化，但有两点例外：归因于非恶意内部人员的攻击下降至9%,这是内部威胁与网络安全教育和意识培训项目的一个可接受指标。选择“不适用”答案的受访者减少了5个百分点，考虑到日益复杂的威胁·近一半的受访者不知道所在企业投保的网络保险种类。从地区角度来看，57%的大洋洲受访者不了解所在企业投保的网络保险类型，其次是北美(49%)和欧洲(43%)。检测/响应(28%)和终端安全(27%)是最受欢迎的AI应用。18%的受访者选择不回答。报告亲自或团队成员参与AI解决方案的开发、引入或实施的受访者数量令人沮丧。近一半(45%)报告没有参与。受访者参与AI治理政共有1,868名受访者完整完成了调查，他们的回答均已被纳入调查结果。±2%。调查数据匿名收集，每个问题的回复率各在所有1,868名受访者中，47%表示网络安全是他们的主要专业责任领域。图1显示了来自102个国家和地区的受访者的人口统计信息。图2进一步说明了调查回复的广度，显示受访者代表了17个以上的行业。行业主要责任领域：金融/银行就职于至少有名员工的企业金融/银行就职于至少有名员工的企业网络安全管理3IT风险管理网络安全从业者政府/军事网络安全从业者(国家/州/地方)72024年网络安全现状：全球劳动力、资源与网络安全运营更新报告%%25%金融/银行%%%请说明贵组织所在主要行业。%%25%金融/银行%%%技术服务/咨询政府/军事(国家/州/地方)政府/军事(国家/州/地方)其他544其他544医疗保健/医疗医疗保健/医疗制造/工程制造/工程保险零售/批发/分销%%电信/通信电信/通信公用事业公用事业运输矿业/建筑/石油/农业运输矿业/建筑/石油/农业11公共会计公共会计航空航天航空航天法务/律师/房地产法务/律师/房地产广告/市场营销/媒体广告/市场营销/媒体制药制药0%10%20%30%40%50%60%70%82024年网络安全现状：全球劳动力、资源与网络安全运营更新报告网络安全劳动力挑战人员配置连续第三年，ISACA调查受访者中管理工作经验不足三年的安全人员的比例保持不变(44%)。与此同时，2023年关注的劳动力老龄化趋势正在恶化。今年，45-54岁年龄组的受访者(34%)超过了35-44岁年龄组(30%)。34岁及以下受访者的比例没有改善(见图3)。受访者报告人员配备情况略有改善(见图4)。38%的受访者认为其网络安全团队人员配置适当，较去年的结果高出2个百分点。报告网络安全团队人员略显不足的受访者比去年减少了3个百分点。进一步分析显示，人员配置水平与企业是否使用AI来缓解短缺之间没有关系。图3:劳动力，按年龄划分请选择您的年龄。25-3434%32%9%55-643%65+2%4%4%5%30%40%50%60%70%80%90%100%选择不回答0%10%45-5435-4420%242023202292024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图4:网络安全人员配备您如何描述贵组织网络安全团队的当前人员配备情况?人员严重不足43%人员略显不足46%人员配备适当36%人员略显过剩人员严重过剩不适用20242023人员保留与去年的结果相比，人员保留率保持稳定，这体现化许多人认为这种模式反映了广泛的经济不确定性和地缘政治格局。3区域数据揭示了各地区的显著差异，北美在保留人才方面报告的困难最小(见图5)。无论个人是选择留在原地还是寻求新机会，受访者的数据都证实了ISACA此前调查结果中观察到的趋势：任何形式的不确定性通常都会伴随着更高的人员保留率(见图6)。66%的受访者表示，他们目前的职业压力水平比五年前更高。当被问及为什么他们的角色更有压力时，81%的受访者将其归因于日益复杂的威胁环境(见图7)。2Kalser,A;“员工选择留任——但这种情况会持续多久?”,HRDIVE,3PoliteMail,“大留任如何取代大辞职”,2024年3月13日图5:按地区划分的人员保留难度4非洲非洲中国欧洲印度拉丁美洲北美大洋洲其他亚洲地区图6:人员保留难度变化(2019-2024)⁵201920202024202120235该图显示了2019年至2024年期间“是”回答的百分比。112024年网络安全现状：全球劳动力、资源与网络安全运营更新报告请告诉我们，为什么您的角色现在比5年前更有压力。45%45%员工培训/技能不足网络安全风险未被优先考虑34%预算太低招聘/人员保留挑战恶化威胁环境日益复杂0%10%20%30%40%50%60%70%80%90%100%职位空缺46%的调查受访者报告他们的企业有非入门级网络安全职位空缺，比去年下降4个百分点。18%的受访者企业有入门级职位空缺，比2023年下降3个百分点(见图8)。同样值得注意的是，报告没有空缺职位的受访者比例比去年增加了3个百分点。填补职位空缺所需时间受访者报告，填补入门级和非入门级职位的时间与2023年报告的时间几乎没有差异。唯一的变化是报告需要三到六个月时间填补非入门级职位的比例略有增加，增加了2个百分点(2023年为38%)(见图9)。图8:未填补的职位贵组织是否有未填补的(空缺的)网络安全职位?请选择所有适用的选项。46%46%非入门级职位50%入门级职位21%没有空缺职位35%不知道40%50%60%70%80%90%100%20%30%38%0%20242023122024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图9:填补网络安全职位所需时间平均而言，贵组织需要多长时间才能用合格候选人填补网络安全职位?4%4%<1个月1个月4%<2个月3-6个月>6个月27%无法填补空缺职位不适用不知道40%50%60入门级非入门级分析空缺职位技术型非管理类网络安全职位仍然是空缺职位中的最高类别(见图10),但今年的真实情况可以在图11和图12中个人贡献者和管理类岗位的纵向数据中看到。非技术个人贡献者的职位大幅下降分别下降了13和9个百分点。网络安全经理职位下降了9个百分点(从60%),降至网络安全状调查数据显示，技术和非技术个人贡献者职位空缺急剧下降。网络安全经理职位下降了9个百分点，至网络安全状况调查报告发布以来的最况调查报告发布以来的最低水平。高级经理/总监级职位的空缺连续第三年下降至40%。网络安全高管职位也有所下降，但仅略降至28%(从31%)。未来需求多年来，对技术个人贡献者的需求一直很高，尽管对这一职位的未来需求仍然很高，但去年有所下降，并继续下降(下降5个百分点)至网络安全状况调查报告发布以来的最低水平(见图13)。132024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图10:特定组织级别的未填补职位百分比贵组织在以下级别有多少未填补(空缺)的网络安全职位?个人贡献者/技术类网络安全个人贡献者/非技术类网络安全30%网络安全经理21%网络安全高级经理/总监21%网络安全高管(如首席信息安全官)0%10%20%30%40%5图10:未填补职位报告个人贡献者(2018-2024)660%50%40%30%20%2018201920232024202020212022●个人贡献者/技术类网络安全个人贡献者/非技术类网络安全6该图比较了2018年至2024年调查结果中报告的未填补职位数据。百分比代表每个职位所有报告的空缺百分比之和，不包括“不知道”和“无”的回答。图12:未填补职位报告——管理层(2018-2024)7●●网络安全经理●网络安全高级经理/总监●网络安全高管(如首席信息安全官)61%51%43%40%31%28%0%2021202240%44%29%28%36%31%36%63%60%63%56%51%55%2019202420202023201847%在未来一年，您认为以下级别的网络安全职位需求会增加、减少还是保持不变?73%73%23%3%45%46%48%网络安全经理38%网络安全高级经理/总监32%网络安全高管(如首席信息安全官)6%0%个人贡献者/技术类网络安全个人贡献者/非技术类网络安全60%70%80%90%100%20%30%40%47%63%56%●增加●不变●减少7该图比较了2018年至2024年调查结果中报告的未填补职位数据。百分比代表每个职位所有报告的空缺百分比之和，不包括”不知道“和“无"的回答。152024年网络安全现状：全球劳动力、资源与网络安全运营更新报告非技术个人贡献者和网络安全经理职位的未来需求保持不变，而网络安全高管职位的未来需求报告略有增加，各增加2个百分点。值得注意的是，技术和非技术个人贡献者在这七年间的趋势非常相似。图14显示了这个问题的历史视图。图14:招聘需求趋势(2018-2024)●个人贡献者/技术类网络安全●●个人贡献者/技术类网络安全●个人贡献者/非技术类网络安全●网络安全经理●网络安全高级经理/总监●网络安全高管(如首席信息70%50%30%20%20232019202420222020202180%人员流失如前所述，行业报告表明，经济状况正在阻止员工离开当前岗位——至少在美国是如此。然而，人员流失无法完全避免。虽然网络安全行业历来偏爱高素质的求职者，但今年的数据反映出网络安全专业人员离职的前两大主要原因大幅下降(见图15)。被其他公司挖角和财务激励不足仍然是网络安全专业人员离职的最大感知原因各占50%。因高工作压力离职增加了3个百分点(46%),这是对去年轻微下降的反弹。高工作压力现在与晋升和发展机会有限并列，后者比一年前下降2个百分点。雇主与员工之间关于重返办公室办公的持续争议可能导致比去年更多的受访者将远程工作可能性有限视为离职原因，比2023年增加了4个百分点，自2022年以来累计增加了8个百分点。雇主福利正在减少2024年的调查数据显示，雇主福利正在收紧(见图16)。受访者报告专业发展培训大幅削减(下降7个百分点),提供弹性工作时间的雇主下降6个百分点。当企业寻求节省成本时，专业发展预算通常会被削减。削减这项预算的原因尚不确定，但可能包括不明确的商业价值。8关于雇主福利的有利报告是，雇主仍在支付员工认证费用，大学学费报销略有增加。clear-business-value/图15:网络安全专业人员离职的原因您认为以下哪些因素导致网络安全专业人员离开当前工作?被其他公司挖角晋升和发展机会有限58%46%工作压力大缺乏管理层支持工作文化/环境差远程工作机会有限工作政策不灵活21%使用最新技术(如AI)的机会有限家庭情况变化(如生子、结婚)退休希望在新行业工作转换职业(如完全离开网络安全行业)缺乏工作场所多样性不知道其他(请说明)您的雇主提供以下哪些福利?请选择所有适用项。支付员工职业认证费用65%64%%弹性工作时间大学学费报销28%带薪志愿者时间21%招聘奖金签约奖金以上都不是10%20%支付员工证书维持费用职业发展培训%人才储备进展合格的申请者受访者对候选人是否胜任空缺职位的看法略有上升9,比去年增加了2个百分点，达到28%(见图17)。图18显示，此前的网络安全实践经验仍然是确定候选人是否被认为合格的主要因素(73%)。对资格证书和实践培训的看法保持不变。受访者对前雇主推荐和大学学位的重视程度比去年低各下降3个百分点。令人惊讶的是，协会会员资格的重要性上升了4个受访者报告，虽然软技能继续主导所有其他技能差距(51%),但软技能比去年的调查结果下降了4个百分点。受访者报告在云技能方面有9根据50-75%和76-100%两类回答的组合得出。图17:合格的网络安全工作申请人百分比平均而言，有多少网络安全工作申请人完全胜任他们申请的职位?24%26%22%76-100%6%不知道5%20%30%40%50%60%70%80%90%不适用26-49%50-75%图18:候选人资质以下因素在确定网络安全候选人是否合格方面有多重要?22%此前的网络安全实践经验2%资格证书7%27%实践培训15%2%20%46%25%雇主推荐25%大学学位协会会员资格4%●非常重要●有些重要21%23%●不太重要46%40%50%60%70%80%●完全不重要●不知道90%计算(下降5个百分点)、编码(下降3个百分点)以及软件开发相关主题、数据相关主题和模式分析(各下降2个百分点)方面有所改善。安全控制(35%)、网络运营(21%)和计算设备(10%)保持不变。2024年新增了两个选项LMSecOps和MLSecOps。24%的受访者选择了这些技能差距(见图19)。图19:量化的技能差距您认为当今网络安全专业人员最大的技能差距是什么?软技能(如沟通、灵活性、领导力)云计算安全控制(如端点、网络、应用程序)实施软件开发相关主题(如语言、机器代码、测试、部署)编码技能数据相关主题(如特征、分类、处理、结构)26%网络相关主题(如架构、26%寻址、网络组件)24%LLMSecOps24%24%MLSecOps24%22%系统加固22%网络运营(如配置、性能监控)模式分析计算设备(如硬件、软件、文件系统)不知道4%其他(请说明)4%10%20%30%40%50%60%70%80%10%20%30%40%50%大学洞察受访者对应届大学毕业生是否为企业网络安全挑战做好准备的看法与去年相比没有变化(见图20),但要求申请入门级网络安全职位的申请人拥有学位的受访者企业比例(见图21)增加了3个百分点(55%)。当被问及应届大学毕业生的技能差距时，受访者的看法不一，但软技能和安全控制仍然是受访者观察到的两大技能差距(见图22)。为了跟上安全运营的进展，2024年的调查在技能差距问题的答案选项中添加了MLSecOps和LLMSecOps。17%的受访者认为这些是技能差距。不同区域对大学学位的要求各不相同。非洲对学位要求的比例上升了7个百分点(76%),这可能是由于样本量小。欧洲受访者继续不愿要求入门级网络安全职位必须具有大学学位，报告比例再次小幅下降(43%)。欧洲仅次于大洋洲(38%)。图20:网络安全学位信心您在多大程度上同意或不同意应届网络安全专业的大学毕业生为贵组织的网络安全挑战做好了准备?强烈同意强烈同意同意不同意强烈不同意不知道23%4%贵组织通常是否要求持有大学学位的候选人来填补入门级网络安全职位?35%40%50%C2024ISACA。版权所有。图22:应届毕业生的技能差距10您在应届毕业生中注意到以下哪些技能差距?软技能(如沟通、灵活性、领导力)安全控制(如端点、网络、应用程序)网络相关主题网络组件)网络运营(如配置、性能监控)系统加固数据相关主题软件开发相关主题(如语言、机器代码、测试、部署)模式分析编码技能计算设备文件系统)64%68%66%64%56%39%34%41%33%40%25%25%25%24%30%20%20%其他(请说明)C2024ISACA。版权所有。2024年，报告的前三大安全技能发生了变化(见图23)。数据保护(46%)超过了身份和访问管理(45%),而事件响应(44%)在今年的调查结果中排名高于云计算(43%)。DevSecOps下降8个百分点(28%);数据收集/关联(30%)和威胁狩猎(26%)下降3个百分点；取证下降2个百分点(18%)。10%的受访关于安全专业人员所需软技能的受访者报告(见图24)显示，沟通(包括倾听和口语技能)(56%)、批判性思维(54%)和问题解决(50%)仍然是前三大所需软技能。调查结果显示道德方面存在令人担忧的趋势——对细节的关注(35%)自2022年以来下降了3个百分点，诚实(15%)继续未被认为足够重要，同理心(11%)下降了2个百分点。调查结果显示道德方面存在令人担忧的趋势——对细节的关注自2022年以来下降了3个百分点，诚实继续未被认为足够重要，同理心下降了2个百分点。按职业阶段划分的职业发展需求控制(58%)、软技能(55%)和云计算(44%)。安全控制和软技能比2023年的调查结果分别提高了3和5个百分点。当将这个职业生涯早期群体与大学毕业生和更有经验的人进行比较时(见图25),许多培训领域都出现了一个普遍主题随着个人在职业生涯中的进步，熟练程度显著提高，这是合乎逻辑的。这一现象在云计算、软件开发相关主题、编码、MLSecOps和LLMSecOps方面出现了分歧，因为处于职业生涯早期的专业人士被认为比在他们之前和之后的职业群体具有更高的熟练度。在职业发展预算经常成为成本节省目标的时代，这一观察强调了持续学习/技能提升的需求—特别是对那些在网络安全行业工作时间较长的员工而言，尤其是在新兴技术方面。人力资本缓解措施41%的受访者表示，他们的企业利用培训让有兴趣的非安全专业人员转向安全角色，作为缓解技能差距的一种方法。受访者报告减少使用承包商或外部顾问(36%)来帮助减少技能差距。在经历了2023年的大幅下降后，对人工智能或自动化的依赖反弹至23%。再培训计划(21%)、基于绩效的培训和资格认证(19%)保持不变，而学徒计划的使用(16%)下滑了3个百分点(见图26)。232024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图23:五大安全技能请选择贵组织当前最需要的五大最重要安全技能。云计算(如IDS、IPS、UTM)(如SIEM、SOAR)终端安全(如EDR、XDR)DevSecOpsLLMSecOps虚拟化请选择贵组织安全专业人员当前最需要的五大最重要软技能。沟通(包括倾听和口语技能)沟通(包括倾听和口语技能)批判性思维批判性思维问题解决49%问题解决49%44%团队合作5%44%对细节的关注36%对细节的关注适应变化的能力适应变化的能力29%决策能力决策能力态度27%态度24%28%领导品质26%领导品质29%27%时间管理25%时间管理27%25%职业道德25%职业道德23%写作技能23%写作技能22%21%冲突解决22%冲突解决22%诚实诚实同理心同理心10%20%30%40%50%60%70%2024●2023●2022图25:按职业阶段划分的专业发展需求11安全控制(如端点、网络、应用程序)实施软技能(如沟通、批判性思维、灵活性、领导力)云计算42%网络相关主题(如架构、寻址、网络组件)网络运营(如配置、性能监控)系统加固数据相关主题(如特征、分类、收集、处理、结构)软件开发相关主题(如语言、机器代码、测试、部署)编码技能计算设备(如硬件、软件、文件系统)MLSecOpsLLMSecOps其他28%21%28%21%4%●大学毕业生●早期职业者●当前的劳动力11此图是基于受访者对大学毕业生、早期职业者和所有其他人最需要的专业发展/培训领域的看法的比较分析。图26:缓解技术技能差距的方法您的组织采取了以下哪些措施来帮助减少网络安全技术技能差距?请选择所有适用项。41%41%45%45%42%23%25%21%21%21%20%20%22%4%2%其他0%10%20%30%40%50%60%70%80%90%100%增加基于绩效的培训以证明实际技能掌握程度增加对证书的重视以证明实际的专业知识培训非安全人员，让有兴趣的人转入安全岗位增加对人工智能或自动化的使用增加合同工或外部顾问的使用增加再培训项目的使用组织没有技能差距学徒/实习机会什么都没做20242023●2022组织继续主要通过在线学习网站(54%)来提升员工的非技术技能。公司培训活动增加了2个百分点(44%),而导师指导(43%)比2023年的调查结果下降了3个百分点。图27显示了雇主为弥补软技能不足所采取的行动。图27:缓解非技术技能差距的方法您的组织采取了以下哪些措施来帮助减少非技术技能差距?请选择所有适用项。4%42%43%46%45%学术学费报销24%什么都没做4%组织没有非技术技能差距3%40%50%60%70%80%90%100%在线学习网站(例如LinkedIn公司培训活动导师指导20%30%其他20%3%网络安全预算在下降在受访者连续两年强烈认为预算资金充足后，数据显示网络安全资金水平出现显著下降(见图28)。36%的受访者表示他们的预算资金充足，比去年下降了5个百分点；44%的受访者认为他们的预算资金略显不足，增加了4个百分点。当被问及预算在未来12个月内如何变化时，受访者的数据显得暗淡(见图29)。只有47%的受访者认为预算会增加(下降4个百分点),而41%(增加3个百分点)的受访者表示预算将保持不变。13%的受访者预计明年预算将缩减持这一观点的受访者比例自2022年以来逐年增加。企业安全预算的9年展望不再显示平稳，而是显示可能出现多年下跌(见图30)。图28:对网络安全资金的看法资金显著超额资金略显超额资金适当资金略显不足资金显著不足44%图29:企业安全预算展望您的组织的网络安全预算在未来12个月内将如何变化(如有)?显著增加7%42%略微增加保持不变略微减少略微减少2%显著减少显著减少0%10%●2024●2023202220212020292024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图30:预测安全预算增加(9年)90%80%70%58%55%51%50%40%30%20%201864%47%2017201920232022202420162020与一年前相比，受访者组织经历的网络攻击增受访者组织应对网络威胁能力的信心水平与2023年相比没有显著变化(见图32)。图31:网络安全攻击报告的同比比较1290%80%48%40%28%30%0%更多攻击相同数量的攻击更少攻击20182019202062%55%7%12此图省略了“我不知道”和“选择不回答”的回复。图32:组织信心您对贵组织的网络安全团队在检测和应对网络威胁方面的整体信心如何?信心不大不知道选择不回答非常有信心有些信心完全有信心2%近一半的受访者认为他们的企业明年将遭遇网络攻击(见图33),这与去年的调查结果相似。图33:攻击的可能性您认为贵组织明年遭遇网络攻击的可能性如何?关于威胁行为者的数据几乎与去年的数据相同，4%且与前几年的调查结果一致(见图34),只有两处小差异。非恶意内部攻击的比例下降了2个百分点(9%),这是一个可以接受的指标，可能归因于网络安全培训、意识提升计划和内部威胁意识教育。4%选择“不适用”答案的受访者减少了3个百分点至28%20%23%,考虑到日益复杂的威胁环境，这并不令人惊20%近一半的受访者认为他们的企业明年将遭遇网络攻击。社交工程作为攻击手段的使用增加了4个百分点(19%),仍然是主要的攻击类型。图35显示了黑客成功攻击受访者企业的攻击类型。非常可能不知道●非常不可能图34:威胁行为者28%28%黑客国家/政府恶意内部人员黑客活动分子非恶意内部人员不适用选择不回答不知道其他0%网络犯罪分子50%70%关于威胁行为者的数据几乎与去年的数据相同，且与前几年关于威胁行为者的数据几乎与去年的数据相同，且与前几年的调查结果一致。非恶意内部攻击的比例下降了2个百分点，这是一个可以接受的指标，可能归因于网络安全培训、意识提升计划和内部威胁意识教育。社交工程作为攻击手段的使用增加了4个百分点，仍然是主要的攻击类型。322024年网络安全现状：全球劳动力、资源与网络安全运营更新报告图35:攻击类型如果贵组织在今年受到攻击，对方使用了以下哪些攻击类型?请选择所有适用项。社会工程学恶意软件拒绝服务(DoS)未修补系统第三方零日漏洞利用敏感数据泄露安全配置错误高级持续性威胁(APT)密码攻击访问控制缺陷身份认证缺陷跨站脚本内部窃取中间人攻击移动设备物理丢失移动恶意软件物联网攻击其他网络攻击方式加密劫持不安全的反序列化利用本地资源(LOTL)水坑攻击不适用选择不回答不知道0%网络风险受访者对其董事会是否充分重视网络安全的看法今年保持不变。56%的受访者认为他们的董事会充分重视企业网络安全。9%的受访者所在企业的高管团队认为进行网络风险评估没有价值(见图36),这在当前网络攻击频发的时代令人惊讶。41%的受访企业每年进行一次网络风险评估(见图37),比去年增加了2个百分点。除了“不知道”选项外，其他所有选项都保持不变。选择“不知道”的受访者比例比去年的调查结果下降了3个百分点。企业在进行网络风险评估时面临许多障碍。受这些障碍影响的受访企业比例与去年基本持平。时间投入仍然是关键(41%);然而，内部缺乏专业知识的比例增加了2个百分点(24%),由于缺乏资金而无法外包给第三方的比例则比2023年增加了4个百分点(18%)。图36:高管层价值认知您的高管团队是否认为进行网络风险评估有价值?图37:网络风险评估频率您的组织多久进行一次网络风险评估?2%2%每月20%每7-12个月每1-2年2年或以上不知道每1-6个月从不每年网络保险2024年网络安全现状调查中增加了关于网络保险的主题。网络保险相关问题询问了受访者对其企业购买的网络保险类型的了解，保单是否足以应对网络风险，以及他们的企业网络保险政策是否曾经被使10%的受访者报告称，他们的企业拥有第一方网络保险(见图38),这类保险通常涵盖与网络事件的调查和响应相关的成本，并包括对业务运营的财务影响。16%的受访者表示，他们的企业只有第三方网络责任保险，该保险为网络事件引发的损害赔偿索赔提供财务补偿。15%的受访者表示，他们的企业同时拥有第一方和第三方网络保险。14%的受访者企业没有网络保险。数据中的一个重要信息是，近一半的受访者不知道其企业拥有何种类型的网络保险。调查结果显示，受访者对企业网络保险的了解与企业规模有关；具体来说，报告对企业网络保险一无所知的受访者中，最多的是在员工超过10,000人的企业工作。从地区角度来看，57%的大洋洲受访者不了解所在企业投保的网络保险类型，其次是北美(49%)和欧洲(43%)。尽管对网络安全专业人士是否需要了解企业投保的网络保险类型可能存在不同观点，但拥有这些知识的好处包括能够帮助规划事件和其他可索赔事件，以及随后的响应(例如，事件响应预案)。考虑到企业风险状况高度影响网络保险保费，不了解情况可能导致组织在保险覆盖范围不符合预期时感到沮丧。最后，保险公司越来越要求最低水平的安全措施；因此，为企业获取网络保险的人员与关键安全专业人士之间的密切合作可以帮助降低风险状况并改善保险费率。图38:网络保险类型您的组织投保哪种网络保险(如有)?●不知道●不知道●第一方和第三方都有96%拥有网络保险企业的受访者报告说，他们的企业网络保险保单至少在某种程度上解决了他们的企业风险状况(见图39)。这些受访者中有三分之一报告说他们的企业使用过其网络保险保单(见图40)。在那些知道其图39:网络保险的充分性您组织的网络保险保单是否充分解决了您的风险状况?图40:网络保险的使用情况保险公司越来越要求最低水平的安全措施；因此，为企保险公司越来越要求最低水平的安全措施；因此，为企业获取网络保险的人员与关键安全专业人士之间的密切合作可以帮助降低风险状况并改善保险费率。大约三分之一的受访企业拥有超过25人组成的安全团队(见图41),但平均员工规模为16人。ISACA在《2024年网络安全现状调查报告》中增加了关于在安全运营中使用人工智能的问题。图42展示了AI在受访企业安全运营中的应用。威胁检测/响应(28%)和终端安全(27%)是最受欢迎的AI应用。那些报告其企业正在增加对AI或自动化应用以减少网络安全技术技能差距的受访者，仍表示他们的网络安全团队人员不足。图41:安全团队规模请说明您的安全人员规模。图42:AI在安全运营中的应用您的组织是否在以下任何安全运营中使用AI?28%28%24%欺诈检测其他以上都不是选择不回答不知道端点安全自动化常规安全任务自动化威胁检测/响应20%C2024ISACA。版权所有。安全运营只是AI可以帮助企业的领域之一。ISACA寻求了解受访者如何参与AI政策和为业务其他领域引入解决方案。当被问及受访者或其团队中的任何人是否参与了AI解决方案的开发、引入或实施时，受访者的回答令人沮丧(见图43)。近一半(45%)的受访者报告没有参与，这在欧洲、印度、拉丁美洲、北美和大洋洲的数据中都是如此。12%的受访者表示该问题不适用于其组织。在不同的网络安全人员配备和预算观点中，回答都是相似的。在员工超过10,000人的企业中的受访者报告的参与度低于较小组织的受访者，这是可以理解的，并为增加决策过程中的合作和透明度提供了机会。当被问及受访者或其团队中的任何人是否参与了制定管理其企业中AI技术使用的政策时(见图44),受访者的回答同样令人失望。只有35%的受访者报告有参与。10%的受访者表示该问题不适用于其组织。在500-4,999名员工的企业中工作的受访者报告的参与度高于在少于500名员工的企业中工作的受访者。图43:AI生命周期的参与您或您团队中的任何人是否参与了您或您团队中的任何人是否参与了AI解决方案的开发、引入或实施?29%45%不确定不适用于我的组织50%60%70%80%是否30%40%20%0%图44:AI政策的参与您或您团队中的任何人是否参与了制定管理您组织中AI技术使用的政策?35%35%41%不确定不适用于我的组织40%50%60%70%80%90%100%10%20%30%是否0%就绪性ISACA全球网络安全状况调查已经进行了十年。虽然对于一个相对较新的职业来说，10年是一段相当长的时间，但调查报告中的