中小企业亟待补充网络安全专业技能
近半数中小企业(SMB)计划在2023年增加网络安全开支。考虑到中小企业中六成(61%)没有设置专职网络安全人员,约半数(47%)毫无事件响应计划,40%没有进行的正式的安全意识培训;增加网络安全开支委实不失为一件好事。
以上数据出自Huntress于3月15日发布的《2023年中型企业网络安全状况》调查报告。该项调查针对员工数量在250到2000人的中小企业。调查发现,尽管部署了各种各样的网络安全产品,比如电子邮件安全(86%)、端点保护(79%)和网络防护(73%),受访企业仍旧容易放弃“基本防御措施”,例如以双因素或多因素身份验证来实现员工密码安全)——美国网络安全与基础设施安全局(CISA)最近提出的一项网络安全建议。
Hunttress报告指出:“这些企业中有相当一部分在应对不断演变的威胁方面感到缺乏准备、人手不足和/或资源紧缺,很多企业面临获取网络保险和进行员工安全意识培训的挑战。中型企业已经意识到自己需要多层网络安全,但他们目前的工具和规划流程仍存在明显的漏洞。”
首先,整整三分之一(34%)的受访企业认为自己不具备检测高级威胁的能力。
Huntress首席信息安全官Roger Koehler表示:“有一部分企业不知道自己被盯上或已经遭到入侵了。可见性对这些企业而言非常重要,因为攻击者可能会在实施攻击之前在他们的网络中潜伏数周乃至数月,找寻立足点并收集所需信息。”
Huntress调查发现,这类企业中14%确认在去年遭到了攻击,另有10%的受访IT人员不确定是否发生过网络攻击。鉴于美国员工人数在250~2000人之间的企业约有600万家,总数可能相当可观。
网络安全开支增加进行时
报告确实揭示了一些好消息:49%的受访企业计划在未来一年增加网络安全开支,从而满足补充更多知识和增强网络安全准备度的巨大需求。Koehler表示,这么多中小企业都主动前行而非被动应对攻击的事实令人满怀希望。也就是说,找到合适的员工是搞清如何花出这笔预算的最大挑战。
“中小企业并没有单纯坐等事件发生再去应对,而是投资预防措施,第一时间阻止攻击。但是,为你的团队找到具备攻击抵御能力的合适员工要花多少钱没个定数,这正是中型企业有待改进的地方。”
招聘数据分析平台CyberSeek的数据显示,截至去年秋季,网络安全工作岗位空缺超过70万个,比2021增加了43%。且由于网络安全专业人员面临职业倦怠和不满,招聘网络安全员工变得比以往任何时候都更难了。
咨询公司麦肯锡(McKinsey)10月份的一项分析显示,预算增加和有才网络安全人员供不应求的状况会推动托管网络安全服务强劲增长。该公司的咨询顾问认为,半个市场都会流向托管安全服务提供商(MSSP)和安全与运营管理。
麦肯锡公司在其分析中表示:“所有细分市场中,安全预算分配将随内部与第三方服务之间服务的占比而增加。只要人才招聘仍成问题,外包服务就会是公司支撑强劲安全成果的重要因素。”
Huntress调查报告《2023年中型企业网络安全状况》
https://www.huntress.com/resources/reports/state-of-cybersecurity-for-mid-sized-businesses-in-2023
参考阅读
使用MSSP时需要避免的六个误区
白宫31亿美元预算推动网络安全开支
美国政府网络安全预算增加至156亿美元
[调研]亚太地区半数中小企业受网络事件的影响超过50万美元