2024年網(wǎng)絡安全現(xiàn)狀報告-ISACA

2024年網(wǎng)絡安全現(xiàn)狀錄4執(zhí)行摘要5調(diào)查方法8網(wǎng)絡安全勞動力挑戰(zhàn)8/人員配置9/人員保留11/職位空缺11/填補職位空缺所需時間12/分析空缺職位12/未來需求15/人員流失15/雇主福利正在減少17人才儲備進展17/合格的申請者20/大學洞察22/合格勞動力問題22/按職業(yè)階段劃分的專業(yè)發(fā)展需求22/人力資本緩解措施27網(wǎng)絡安全預算呈下降趨勢29網(wǎng)絡攻擊、檢測和威脅行為者33網(wǎng)絡風險34/網(wǎng)絡保險36安全運營：聚焦人工智能38結論：關注網(wǎng)絡安全就緒性39致謝32024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告《2024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告》呈現(xiàn)了ISACA③年度全球網(wǎng)絡安全狀況調(diào)查的結果，該調(diào)查于2024年第二季度進行。本調(diào)查報告聚焦于網(wǎng)絡安全勞動力發(fā)展、人員配備和預算、威脅形勢、網(wǎng)絡風險以及人工智能(AI)使用的當前趨勢。盡管過往的年度網(wǎng)絡安全報告并未顯示觀點或趨勢的重大轉(zhuǎn)變，但2024年的調(diào)查數(shù)據(jù)揭示了多項變化，這些變化可能會對網(wǎng)絡安全就緒狀態(tài)產(chǎn)生不利影響。執(zhí)行摘要ISACA第十屆年度全球網(wǎng)絡安全狀況調(diào)查繼續(xù)識別網(wǎng)絡安全領域的當前挑戰(zhàn)和趨勢，同時ISACA繼續(xù)擴展其縱向報告，在《2024年網(wǎng)絡安全現(xiàn)狀》報告中提供調(diào)查結果年度比較。今年的報告分析網(wǎng)絡風險的調(diào)查結果，并新增了人工智能(AI)相關內(nèi)容。與前一年相比，一些調(diào)查結果數(shù)據(jù)沒有變化，而其他數(shù)據(jù)則強化了去年的發(fā)現(xiàn)，即市場不確定性正產(chǎn)生顯著影響———特別是在預算和薪酬方面，這可能會對網(wǎng)絡安全就緒工作產(chǎn)生不利影響?！だ淆g化勞動力正在增長。十年來首次，最大比例的受訪者年齡在45至54歲之間(34%)。該年齡組超過了35至44歲的受訪者(30%)。這以及管理經(jīng)驗不足三年的員工的受訪者數(shù)量沒有增加，都在警示行業(yè)領導者要考慮制定繼任·今年的調(diào)查結果顯示，人員的配置水平略有改善。38%的受訪者認為其網(wǎng)絡安全團隊人員配置適當，較去年的結果提高了2個百分點。認為團隊人員略顯不足的受訪者(43%)較去年下降了3個百分點。分析顯示，人員配置水平與企業(yè)是否使用AI來緩解短缺之間沒有關系?！?6%的受訪者報告稱，職業(yè)壓力比五年前高得多81%的受訪者將壓力增加歸因于日益復雜的威脅環(huán)境?！じ骷壙杖钡木W(wǎng)絡安全職位繼續(xù)減少。調(diào)查數(shù)據(jù)顯示，技術和非技術個人貢獻者職位空缺急劇下降。網(wǎng)絡安全經(jīng)理職位下降了9個百分點(從60%),降至網(wǎng)絡安全狀況調(diào)查有史以來的最低水平。高級經(jīng)理/主管職位空缺連續(xù)第三年減少。網(wǎng)絡安全高管職位也是如此，但程度不那。經(jīng)濟狀況似乎阻礙了員工離開當前工作崗位——尤其是在美國。今年網(wǎng)絡安全專業(yè)人員選擇離職前兩大原因的受訪者減少了被其他公司挖角下降了8個百分點至50%,財務激勵不足下降了4個百分點至50%。選擇因工作壓力水平高而離職的受訪者躍升至46%比去年的調(diào)查結果高出3個百分點。雇主與員工之間關于重返辦公室的持續(xù)爭議可能導致比去年多了4%的受訪者將遠程工作可能性有限視為經(jīng)濟狀況似乎阻礙了員工離開當前工作崗位—。雇主福利正在縮水。為專業(yè)發(fā)展培訓支付費用的雇主減少，比去年的調(diào)查結果下降了7個百分點。提供彈性工作時間的雇主今年也出現(xiàn)類52024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告·網(wǎng)絡安全實踐經(jīng)驗繼續(xù)成為確定候選人是否合格的主要因素。雖然對資格證書和實踐培訓的看法沒有變化，但受訪者對前雇主推薦和大學學位的重視程度降低。受訪者報告協(xié)會會員資·利用培訓讓有興趣的非安全專業(yè)人員轉(zhuǎn)向安全崗位以及增加使用承包商或顧問仍然是彌補網(wǎng)絡安全技術技能差距的主要措施。培訓減少了4個百分點，而使用承包商或顧問的比例增加了2個百分點。繼去年下降之后，通過增加采用AI或自動化來解決人員短缺問題回升至23%。使用學徒或?qū)嵙暽鷾p少了3個百分點?！そ衲昃W(wǎng)絡安全資金水平大幅下降，其逐年遞減顯示出多年下跌的跡象。只有36%的受訪者表示他們的網(wǎng)絡安全預算資金充足，44%的受訪者認為他們的預算資金略顯不足—增加了4個百分點。只有47%的受訪者認為預算會增加，41%的受訪者報告預算將保持平穩(wěn)。13%的受訪者預計明年預算將縮減持這一觀點的受訪者比例自2022年以來逐年增加。調(diào)查方法2024年第二季度，ISACA向全球網(wǎng)絡安全專業(yè)人這些專業(yè)人士持有ISACA頒發(fā)的注冊信息安全經(jīng)理(CISM)認證或擁有在信息安全領域注冊的職調(diào)查使用多項選擇和李克特量表格式，向受訪者提·威脅態(tài)勢數(shù)據(jù)幾乎沒有變化，但有兩點例外：歸因于非惡意內(nèi)部人員的攻擊下降至9%,這是內(nèi)部威脅與網(wǎng)絡安全教育和意識培訓項目的一個可接受指標。選擇“不適用”答案的受訪者減少了5個百分點，考慮到日益復雜的威脅·近一半的受訪者不知道所在企業(yè)投保的網(wǎng)絡保險種類。從地區(qū)角度來看，57%的大洋洲受訪者不了解所在企業(yè)投保的網(wǎng)絡保險類型，其次是北美(49%)和歐洲(43%)。檢測/響應(28%)和終端安全(27%)是最受歡迎的AI應用。18%的受訪者選擇不回答。報告親自或團隊成員參與AI解決方案的開發(fā)、引入或?qū)嵤┑氖茉L者數(shù)量令人沮喪。近一半(45%)報告沒有參與。受訪者參與AI治理政共有1,868名受訪者完整完成了調(diào)查，他們的回答均已被納入調(diào)查結果?！?%。調(diào)查數(shù)據(jù)匿名收集，每個問題的回復率各在所有1,868名受訪者中，47%表示網(wǎng)絡安全是他們的主要專業(yè)責任領域。圖1顯示了來自102個國家和地區(qū)的受訪者的人口統(tǒng)計信息。圖2進一步說明了調(diào)查回復的廣度，顯示受訪者代表了17個以上的行業(yè)。行業(yè)主要責任領域：金融/銀行就職于至少有名員工的企業(yè)金融/銀行就職于至少有名員工的企業(yè)網(wǎng)絡安全管理3IT風險管理網(wǎng)絡安全從業(yè)者政府/軍事網(wǎng)絡安全從業(yè)者(國家/州/地方)72024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告%%25%金融/銀行%%%請說明貴組織所在主要行業(yè)。%%25%金融/銀行%%%技術服務/咨詢政府/軍事(國家/州/地方)政府/軍事(國家/州/地方)其他544其他544醫(yī)療保健/醫(yī)療醫(yī)療保健/醫(yī)療制造/工程制造/工程保險零售/批發(fā)/分銷%%電信/通信電信/通信公用事業(yè)公用事業(yè)運輸?shù)V業(yè)/建筑/石油/農(nóng)業(yè)運輸?shù)V業(yè)/建筑/石油/農(nóng)業(yè)11公共會計公共會計航空航天航空航天法務/律師/房地產(chǎn)法務/律師/房地產(chǎn)廣告/市場營銷/媒體廣告/市場營銷/媒體制藥制藥0%10%20%30%40%50%60%70%82024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告網(wǎng)絡安全勞動力挑戰(zhàn)人員配置連續(xù)第三年，ISACA調(diào)查受訪者中管理工作經(jīng)驗不足三年的安全人員的比例保持不變(44%)。與此同時，2023年關注的勞動力老齡化趨勢正在惡化。今年，45-54歲年齡組的受訪者(34%)超過了35-44歲年齡組(30%)。34歲及以下受訪者的比例沒有改善(見圖3)。受訪者報告人員配備情況略有改善(見圖4)。38%的受訪者認為其網(wǎng)絡安全團隊人員配置適當，較去年的結果高出2個百分點。報告網(wǎng)絡安全團隊人員略顯不足的受訪者比去年減少了3個百分點。進一步分析顯示，人員配置水平與企業(yè)是否使用AI來緩解短缺之間沒有關系。圖3:勞動力，按年齡劃分請選擇您的年齡。25-3434%32%9%55-643%65+2%4%4%5%30%40%50%60%70%80%90%100%選擇不回答0%10%45-5435-4420%242023202292024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖4:網(wǎng)絡安全人員配備您如何描述貴組織網(wǎng)絡安全團隊的當前人員配備情況?人員嚴重不足43%人員略顯不足46%人員配備適當36%人員略顯過剩人員嚴重過剩不適用20242023人員保留與去年的結果相比，人員保留率保持穩(wěn)定，這體現(xiàn)化許多人認為這種模式反映了廣泛的經(jīng)濟不確定性和地緣政治格局。3區(qū)域數(shù)據(jù)揭示了各地區(qū)的顯著差異，北美在保留人才方面報告的困難最小(見圖5)。無論個人是選擇留在原地還是尋求新機會，受訪者的數(shù)據(jù)都證實了ISACA此前調(diào)查結果中觀察到的趨勢：任何形式的不確定性通常都會伴隨著更高的人員保留率(見圖6)。66%的受訪者表示，他們目前的職業(yè)壓力水平比五年前更高。當被問及為什么他們的角色更有壓力時，81%的受訪者將其歸因于日益復雜的威脅環(huán)境(見圖7)。2Kalser,A;“員工選擇留任——但這種情況會持續(xù)多久?”,HRDIVE,3PoliteMail,“大留任如何取代大辭職”,2024年3月13日圖5:按地區(qū)劃分的人員保留難度4非洲非洲中國歐洲印度拉丁美洲北美大洋洲其他亞洲地區(qū)圖6:人員保留難度變化(2019-2024)?201920202024202120235該圖顯示了2019年至2024年期間“是”回答的百分比。112024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告請告訴我們，為什么您的角色現(xiàn)在比5年前更有壓力。45%45%員工培訓/技能不足網(wǎng)絡安全風險未被優(yōu)先考慮34%預算太低招聘/人員保留挑戰(zhàn)惡化威脅環(huán)境日益復雜0%10%20%30%40%50%60%70%80%90%100%職位空缺46%的調(diào)查受訪者報告他們的企業(yè)有非入門級網(wǎng)絡安全職位空缺，比去年下降4個百分點。18%的受訪者企業(yè)有入門級職位空缺，比2023年下降3個百分點(見圖8)。同樣值得注意的是，報告沒有空缺職位的受訪者比例比去年增加了3個百分點。填補職位空缺所需時間受訪者報告，填補入門級和非入門級職位的時間與2023年報告的時間幾乎沒有差異。唯一的變化是報告需要三到六個月時間填補非入門級職位的比例略有增加，增加了2個百分點(2023年為38%)(見圖9)。圖8:未填補的職位貴組織是否有未填補的(空缺的)網(wǎng)絡安全職位?請選擇所有適用的選項。46%46%非入門級職位50%入門級職位21%沒有空缺職位35%不知道40%50%60%70%80%90%100%20%30%38%0%20242023122024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖9:填補網(wǎng)絡安全職位所需時間平均而言，貴組織需要多長時間才能用合格候選人填補網(wǎng)絡安全職位?4%4%<1個月1個月4%<2個月3-6個月>6個月27%無法填補空缺職位不適用不知道40%50%60入門級非入門級分析空缺職位技術型非管理類網(wǎng)絡安全職位仍然是空缺職位中的最高類別(見圖10),但今年的真實情況可以在圖11和圖12中個人貢獻者和管理類崗位的縱向數(shù)據(jù)中看到。非技術個人貢獻者的職位大幅下降分別下降了13和9個百分點。網(wǎng)絡安全經(jīng)理職位下降了9個百分點(從60%),降至網(wǎng)絡安全狀調(diào)查數(shù)據(jù)顯示，技術和非技術個人貢獻者職位空缺急劇下降。網(wǎng)絡安全經(jīng)理職位下降了9個百分點，至網(wǎng)絡安全狀況調(diào)查報告發(fā)布以來的最況調(diào)查報告發(fā)布以來的最低水平。高級經(jīng)理/總監(jiān)級職位的空缺連續(xù)第三年下降至40%。網(wǎng)絡安全高管職位也有所下降，但僅略降至28%(從31%)。未來需求多年來，對技術個人貢獻者的需求一直很高，盡管對這一職位的未來需求仍然很高，但去年有所下降，并繼續(xù)下降(下降5個百分點)至網(wǎng)絡安全狀況調(diào)查報告發(fā)布以來的最低水平(見圖13)。132024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖10:特定組織級別的未填補職位百分比貴組織在以下級別有多少未填補(空缺)的網(wǎng)絡安全職位?個人貢獻者/技術類網(wǎng)絡安全個人貢獻者/非技術類網(wǎng)絡安全30%網(wǎng)絡安全經(jīng)理21%網(wǎng)絡安全高級經(jīng)理/總監(jiān)21%網(wǎng)絡安全高管(如首席信息安全官)0%10%20%30%40%5圖10:未填補職位報告?zhèn)€人貢獻者(2018-2024)660%50%40%30%20%2018201920232024202020212022●個人貢獻者/技術類網(wǎng)絡安全個人貢獻者/非技術類網(wǎng)絡安全6該圖比較了2018年至2024年調(diào)查結果中報告的未填補職位數(shù)據(jù)。百分比代表每個職位所有報告的空缺百分比之和，不包括“不知道”和“無”的回答。圖12:未填補職位報告——管理層(2018-2024)7●●網(wǎng)絡安全經(jīng)理●網(wǎng)絡安全高級經(jīng)理/總監(jiān)●網(wǎng)絡安全高管(如首席信息安全官)61%51%43%40%31%28%0%2021202240%44%29%28%36%31%36%63%60%63%56%51%55%2019202420202023201847%在未來一年，您認為以下級別的網(wǎng)絡安全職位需求會增加、減少還是保持不變?73%73%23%3%45%46%48%網(wǎng)絡安全經(jīng)理38%網(wǎng)絡安全高級經(jīng)理/總監(jiān)32%網(wǎng)絡安全高管(如首席信息安全官)6%0%個人貢獻者/技術類網(wǎng)絡安全個人貢獻者/非技術類網(wǎng)絡安全60%70%80%90%100%20%30%40%47%63%56%●增加●不變●減少7該圖比較了2018年至2024年調(diào)查結果中報告的未填補職位數(shù)據(jù)。百分比代表每個職位所有報告的空缺百分比之和，不包括”不知道“和“無"的回答。152024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告非技術個人貢獻者和網(wǎng)絡安全經(jīng)理職位的未來需求保持不變，而網(wǎng)絡安全高管職位的未來需求報告略有增加，各增加2個百分點。值得注意的是，技術和非技術個人貢獻者在這七年間的趨勢非常相似。圖14顯示了這個問題的歷史視圖。圖14:招聘需求趨勢(2018-2024)●個人貢獻者/技術類網(wǎng)絡安全●●個人貢獻者/技術類網(wǎng)絡安全●個人貢獻者/非技術類網(wǎng)絡安全●網(wǎng)絡安全經(jīng)理●網(wǎng)絡安全高級經(jīng)理/總監(jiān)●網(wǎng)絡安全高管(如首席信息70%50%30%20%20232019202420222020202180%人員流失如前所述，行業(yè)報告表明，經(jīng)濟狀況正在阻止員工離開當前崗位——至少在美國是如此。然而，人員流失無法完全避免。雖然網(wǎng)絡安全行業(yè)歷來偏愛高素質(zhì)的求職者，但今年的數(shù)據(jù)反映出網(wǎng)絡安全專業(yè)人員離職的前兩大主要原因大幅下降(見圖15)。被其他公司挖角和財務激勵不足仍然是網(wǎng)絡安全專業(yè)人員離職的最大感知原因各占50%。因高工作壓力離職增加了3個百分點(46%),這是對去年輕微下降的反彈。高工作壓力現(xiàn)在與晉升和發(fā)展機會有限并列，后者比一年前下降2個百分點。雇主與員工之間關于重返辦公室辦公的持續(xù)爭議可能導致比去年更多的受訪者將遠程工作可能性有限視為離職原因，比2023年增加了4個百分點，自2022年以來累計增加了8個百分點。雇主福利正在減少2024年的調(diào)查數(shù)據(jù)顯示，雇主福利正在收緊(見圖16)。受訪者報告專業(yè)發(fā)展培訓大幅削減(下降7個百分點),提供彈性工作時間的雇主下降6個百分點。當企業(yè)尋求節(jié)省成本時，專業(yè)發(fā)展預算通常會被削減。削減這項預算的原因尚不確定，但可能包括不明確的商業(yè)價值。8關于雇主福利的有利報告是，雇主仍在支付員工認證費用，大學學費報銷略有增加。clear-business-value/圖15:網(wǎng)絡安全專業(yè)人員離職的原因您認為以下哪些因素導致網(wǎng)絡安全專業(yè)人員離開當前工作?被其他公司挖角晉升和發(fā)展機會有限58%46%工作壓力大缺乏管理層支持工作文化/環(huán)境差遠程工作機會有限工作政策不靈活21%使用最新技術(如AI)的機會有限家庭情況變化(如生子、結婚)退休希望在新行業(yè)工作轉(zhuǎn)換職業(yè)(如完全離開網(wǎng)絡安全行業(yè))缺乏工作場所多樣性不知道其他(請說明)您的雇主提供以下哪些福利?請選擇所有適用項。支付員工職業(yè)認證費用65%64%%彈性工作時間大學學費報銷28%帶薪志愿者時間21%招聘獎金簽約獎金以上都不是10%20%支付員工證書維持費用職業(yè)發(fā)展培訓%人才儲備進展合格的申請者受訪者對候選人是否勝任空缺職位的看法略有上升9,比去年增加了2個百分點，達到28%(見圖17)。圖18顯示，此前的網(wǎng)絡安全實踐經(jīng)驗仍然是確定候選人是否被認為合格的主要因素(73%)。對資格證書和實踐培訓的看法保持不變。受訪者對前雇主推薦和大學學位的重視程度比去年低各下降3個百分點。令人驚訝的是，協(xié)會會員資格的重要性上升了4個受訪者報告，雖然軟技能繼續(xù)主導所有其他技能差距(51%),但軟技能比去年的調(diào)查結果下降了4個百分點。受訪者報告在云技能方面有9根據(jù)50-75%和76-100%兩類回答的組合得出。圖17:合格的網(wǎng)絡安全工作申請人百分比平均而言，有多少網(wǎng)絡安全工作申請人完全勝任他們申請的職位?24%26%22%76-100%6%不知道5%20%30%40%50%60%70%80%90%不適用26-49%50-75%圖18:候選人資質(zhì)以下因素在確定網(wǎng)絡安全候選人是否合格方面有多重要?22%此前的網(wǎng)絡安全實踐經(jīng)驗2%資格證書7%27%實踐培訓15%2%20%46%25%雇主推薦25%大學學位協(xié)會會員資格4%●非常重要●有些重要21%23%●不太重要46%40%50%60%70%80%●完全不重要●不知道90%計算(下降5個百分點)、編碼(下降3個百分點)以及軟件開發(fā)相關主題、數(shù)據(jù)相關主題和模式分析(各下降2個百分點)方面有所改善。安全控制(35%)、網(wǎng)絡運營(21%)和計算設備(10%)保持不變。2024年新增了兩個選項LMSecOps和MLSecOps。24%的受訪者選擇了這些技能差距(見圖19)。圖19:量化的技能差距您認為當今網(wǎng)絡安全專業(yè)人員最大的技能差距是什么?軟技能(如溝通、靈活性、領導力)云計算安全控制(如端點、網(wǎng)絡、應用程序)實施軟件開發(fā)相關主題(如語言、機器代碼、測試、部署)編碼技能數(shù)據(jù)相關主題(如特征、分類、處理、結構)26%網(wǎng)絡相關主題(如架構、26%尋址、網(wǎng)絡組件)24%LLMSecOps24%24%MLSecOps24%22%系統(tǒng)加固22%網(wǎng)絡運營(如配置、性能監(jiān)控)模式分析計算設備(如硬件、軟件、文件系統(tǒng))不知道4%其他(請說明)4%10%20%30%40%50%60%70%80%10%20%30%40%50%大學洞察受訪者對應屆大學畢業(yè)生是否為企業(yè)網(wǎng)絡安全挑戰(zhàn)做好準備的看法與去年相比沒有變化(見圖20),但要求申請入門級網(wǎng)絡安全職位的申請人擁有學位的受訪者企業(yè)比例(見圖21)增加了3個百分點(55%)。當被問及應屆大學畢業(yè)生的技能差距時，受訪者的看法不一，但軟技能和安全控制仍然是受訪者觀察到的兩大技能差距(見圖22)。為了跟上安全運營的進展，2024年的調(diào)查在技能差距問題的答案選項中添加了MLSecOps和LLMSecOps。17%的受訪者認為這些是技能差距。不同區(qū)域?qū)Υ髮W學位的要求各不相同。非洲對學位要求的比例上升了7個百分點(76%),這可能是由于樣本量小。歐洲受訪者繼續(xù)不愿要求入門級網(wǎng)絡安全職位必須具有大學學位，報告比例再次小幅下降(43%)。歐洲僅次于大洋洲(38%)。圖20:網(wǎng)絡安全學位信心您在多大程度上同意或不同意應屆網(wǎng)絡安全專業(yè)的大學畢業(yè)生為貴組織的網(wǎng)絡安全挑戰(zhàn)做好了準備?強烈同意強烈同意同意不同意強烈不同意不知道23%4%貴組織通常是否要求持有大學學位的候選人來填補入門級網(wǎng)絡安全職位?35%40%50%C2024ISACA。版權所有。圖22:應屆畢業(yè)生的技能差距10您在應屆畢業(yè)生中注意到以下哪些技能差距?軟技能(如溝通、靈活性、領導力)安全控制(如端點、網(wǎng)絡、應用程序)網(wǎng)絡相關主題網(wǎng)絡組件)網(wǎng)絡運營(如配置、性能監(jiān)控)系統(tǒng)加固數(shù)據(jù)相關主題軟件開發(fā)相關主題(如語言、機器代碼、測試、部署)模式分析編碼技能計算設備文件系統(tǒng))64%68%66%64%56%39%34%41%33%40%25%25%25%24%30%20%20%其他(請說明)C2024ISACA。版權所有。2024年，報告的前三大安全技能發(fā)生了變化(見圖23)。數(shù)據(jù)保護(46%)超過了身份和訪問管理(45%),而事件響應(44%)在今年的調(diào)查結果中排名高于云計算(43%)。DevSecOps下降8個百分點(28%);數(shù)據(jù)收集/關聯(lián)(30%)和威脅狩獵(26%)下降3個百分點；取證下降2個百分點(18%)。10%的受訪關于安全專業(yè)人員所需軟技能的受訪者報告(見圖24)顯示，溝通(包括傾聽和口語技能)(56%)、批判性思維(54%)和問題解決(50%)仍然是前三大所需軟技能。調(diào)查結果顯示道德方面存在令人擔憂的趨勢——對細節(jié)的關注(35%)自2022年以來下降了3個百分點，誠實(15%)繼續(xù)未被認為足夠重要，同理心(11%)下降了2個百分點。調(diào)查結果顯示道德方面存在令人擔憂的趨勢——對細節(jié)的關注自2022年以來下降了3個百分點，誠實繼續(xù)未被認為足夠重要，同理心下降了2個百分點。按職業(yè)階段劃分的職業(yè)發(fā)展需求控制(58%)、軟技能(55%)和云計算(44%)。安全控制和軟技能比2023年的調(diào)查結果分別提高了3和5個百分點。當將這個職業(yè)生涯早期群體與大學畢業(yè)生和更有經(jīng)驗的人進行比較時(見圖25),許多培訓領域都出現(xiàn)了一個普遍主題隨著個人在職業(yè)生涯中的進步，熟練程度顯著提高，這是合乎邏輯的。這一現(xiàn)象在云計算、軟件開發(fā)相關主題、編碼、MLSecOps和LLMSecOps方面出現(xiàn)了分歧，因為處于職業(yè)生涯早期的專業(yè)人士被認為比在他們之前和之后的職業(yè)群體具有更高的熟練度。在職業(yè)發(fā)展預算經(jīng)常成為成本節(jié)省目標的時代，這一觀察強調(diào)了持續(xù)學習/技能提升的需求—特別是對那些在網(wǎng)絡安全行業(yè)工作時間較長的員工而言，尤其是在新興技術方面。人力資本緩解措施41%的受訪者表示，他們的企業(yè)利用培訓讓有興趣的非安全專業(yè)人員轉(zhuǎn)向安全角色，作為緩解技能差距的一種方法。受訪者報告減少使用承包商或外部顧問(36%)來幫助減少技能差距。在經(jīng)歷了2023年的大幅下降后，對人工智能或自動化的依賴反彈至23%。再培訓計劃(21%)、基于績效的培訓和資格認證(19%)保持不變，而學徒計劃的使用(16%)下滑了3個百分點(見圖26)。232024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖23:五大安全技能請選擇貴組織當前最需要的五大最重要安全技能。云計算(如IDS、IPS、UTM)(如SIEM、SOAR)終端安全(如EDR、XDR)DevSecOpsLLMSecOps虛擬化請選擇貴組織安全專業(yè)人員當前最需要的五大最重要軟技能。溝通(包括傾聽和口語技能)溝通(包括傾聽和口語技能)批判性思維批判性思維問題解決49%問題解決49%44%團隊合作5%44%對細節(jié)的關注36%對細節(jié)的關注適應變化的能力適應變化的能力29%決策能力決策能力態(tài)度27%態(tài)度24%28%領導品質(zhì)26%領導品質(zhì)29%27%時間管理25%時間管理27%25%職業(yè)道德25%職業(yè)道德23%寫作技能23%寫作技能22%21%沖突解決22%沖突解決22%誠實誠實同理心同理心10%20%30%40%50%60%70%2024●2023●2022圖25:按職業(yè)階段劃分的專業(yè)發(fā)展需求11安全控制(如端點、網(wǎng)絡、應用程序)實施軟技能(如溝通、批判性思維、靈活性、領導力)云計算42%網(wǎng)絡相關主題(如架構、尋址、網(wǎng)絡組件)網(wǎng)絡運營(如配置、性能監(jiān)控)系統(tǒng)加固數(shù)據(jù)相關主題(如特征、分類、收集、處理、結構)軟件開發(fā)相關主題(如語言、機器代碼、測試、部署)編碼技能計算設備(如硬件、軟件、文件系統(tǒng))MLSecOpsLLMSecOps其他28%21%28%21%4%●大學畢業(yè)生●早期職業(yè)者●當前的勞動力11此圖是基于受訪者對大學畢業(yè)生、早期職業(yè)者和所有其他人最需要的專業(yè)發(fā)展/培訓領域的看法的比較分析。圖26:緩解技術技能差距的方法您的組織采取了以下哪些措施來幫助減少網(wǎng)絡安全技術技能差距?請選擇所有適用項。41%41%45%45%42%23%25%21%21%21%20%20%22%4%2%其他0%10%20%30%40%50%60%70%80%90%100%增加基于績效的培訓以證明實際技能掌握程度增加對證書的重視以證明實際的專業(yè)知識培訓非安全人員，讓有興趣的人轉(zhuǎn)入安全崗位增加對人工智能或自動化的使用增加合同工或外部顧問的使用增加再培訓項目的使用組織沒有技能差距學徒/實習機會什么都沒做20242023●2022組織繼續(xù)主要通過在線學習網(wǎng)站(54%)來提升員工的非技術技能。公司培訓活動增加了2個百分點(44%),而導師指導(43%)比2023年的調(diào)查結果下降了3個百分點。圖27顯示了雇主為彌補軟技能不足所采取的行動。圖27:緩解非技術技能差距的方法您的組織采取了以下哪些措施來幫助減少非技術技能差距?請選擇所有適用項。4%42%43%46%45%學術學費報銷24%什么都沒做4%組織沒有非技術技能差距3%40%50%60%70%80%90%100%在線學習網(wǎng)站(例如LinkedIn公司培訓活動導師指導20%30%其他20%3%網(wǎng)絡安全預算在下降在受訪者連續(xù)兩年強烈認為預算資金充足后，數(shù)據(jù)顯示網(wǎng)絡安全資金水平出現(xiàn)顯著下降(見圖28)。36%的受訪者表示他們的預算資金充足，比去年下降了5個百分點；44%的受訪者認為他們的預算資金略顯不足，增加了4個百分點。當被問及預算在未來12個月內(nèi)如何變化時，受訪者的數(shù)據(jù)顯得暗淡(見圖29)。只有47%的受訪者認為預算會增加(下降4個百分點),而41%(增加3個百分點)的受訪者表示預算將保持不變。13%的受訪者預計明年預算將縮減持這一觀點的受訪者比例自2022年以來逐年增加。企業(yè)安全預算的9年展望不再顯示平穩(wěn)，而是顯示可能出現(xiàn)多年下跌(見圖30)。圖28:對網(wǎng)絡安全資金的看法資金顯著超額資金略顯超額資金適當資金略顯不足資金顯著不足44%圖29:企業(yè)安全預算展望您的組織的網(wǎng)絡安全預算在未來12個月內(nèi)將如何變化(如有)?顯著增加7%42%略微增加保持不變略微減少略微減少2%顯著減少顯著減少0%10%●2024●2023202220212020292024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖30:預測安全預算增加(9年)90%80%70%58%55%51%50%40%30%20%201864%47%2017201920232022202420162020與一年前相比，受訪者組織經(jīng)歷的網(wǎng)絡攻擊增受訪者組織應對網(wǎng)絡威脅能力的信心水平與2023年相比沒有顯著變化(見圖32)。圖31:網(wǎng)絡安全攻擊報告的同比比較1290%80%48%40%28%30%0%更多攻擊相同數(shù)量的攻擊更少攻擊20182019202062%55%7%12此圖省略了“我不知道”和“選擇不回答”的回復。圖32:組織信心您對貴組織的網(wǎng)絡安全團隊在檢測和應對網(wǎng)絡威脅方面的整體信心如何?信心不大不知道選擇不回答非常有信心有些信心完全有信心2%近一半的受訪者認為他們的企業(yè)明年將遭遇網(wǎng)絡攻擊(見圖33),這與去年的調(diào)查結果相似。圖33:攻擊的可能性您認為貴組織明年遭遇網(wǎng)絡攻擊的可能性如何?關于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，4%且與前幾年的調(diào)查結果一致(見圖34),只有兩處小差異。非惡意內(nèi)部攻擊的比例下降了2個百分點(9%),這是一個可以接受的指標，可能歸因于網(wǎng)絡安全培訓、意識提升計劃和內(nèi)部威脅意識教育。4%選擇“不適用”答案的受訪者減少了3個百分點至28%20%23%,考慮到日益復雜的威脅環(huán)境，這并不令人驚20%近一半的受訪者認為他們的企業(yè)明年將遭遇網(wǎng)絡攻擊。社交工程作為攻擊手段的使用增加了4個百分點(19%),仍然是主要的攻擊類型。圖35顯示了黑客成功攻擊受訪者企業(yè)的攻擊類型。非?？赡懿恢馈穹浅２豢赡軋D34:威脅行為者28%28%黑客國家/政府惡意內(nèi)部人員黑客活動分子非惡意內(nèi)部人員不適用選擇不回答不知道其他0%網(wǎng)絡犯罪分子50%70%關于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，且與前幾年關于威脅行為者的數(shù)據(jù)幾乎與去年的數(shù)據(jù)相同，且與前幾年的調(diào)查結果一致。非惡意內(nèi)部攻擊的比例下降了2個百分點，這是一個可以接受的指標，可能歸因于網(wǎng)絡安全培訓、意識提升計劃和內(nèi)部威脅意識教育。社交工程作為攻擊手段的使用增加了4個百分點，仍然是主要的攻擊類型。322024年網(wǎng)絡安全現(xiàn)狀：全球勞動力、資源與網(wǎng)絡安全運營更新報告圖35:攻擊類型如果貴組織在今年受到攻擊，對方使用了以下哪些攻擊類型?請選擇所有適用項。社會工程學惡意軟件拒絕服務(DoS)未修補系統(tǒng)第三方零日漏洞利用敏感數(shù)據(jù)泄露安全配置錯誤高級持續(xù)性威脅(APT)密碼攻擊訪問控制缺陷身份認證缺陷跨站腳本內(nèi)部竊取中間人攻擊移動設備物理丟失移動惡意軟件物聯(lián)網(wǎng)攻擊其他網(wǎng)絡攻擊方式加密劫持不安全的反序列化利用本地資源(LOTL)水坑攻擊不適用選擇不回答不知道0%網(wǎng)絡風險受訪者對其董事會是否充分重視網(wǎng)絡安全的看法今年保持不變。56%的受訪者認為他們的董事會充分重視企業(yè)網(wǎng)絡安全。9%的受訪者所在企業(yè)的高管團隊認為進行網(wǎng)絡風險評估沒有價值(見圖36),這在當前網(wǎng)絡攻擊頻發(fā)的時代令人驚訝。41%的受訪企業(yè)每年進行一次網(wǎng)絡風險評估(見圖37),比去年增加了2個百分點。除了“不知道”選項外，其他所有選項都保持不變。選擇“不知道”的受訪者比例比去年的調(diào)查結果下降了3個百分點。企業(yè)在進行網(wǎng)絡風險評估時面臨許多障礙。受這些障礙影響的受訪企業(yè)比例與去年基本持平。時間投入仍然是關鍵(41%);然而，內(nèi)部缺乏專業(yè)知識的比例增加了2個百分點(24%),由于缺乏資金而無法外包給第三方的比例則比2023年增加了4個百分點(18%)。圖36:高管層價值認知您的高管團隊是否認為進行網(wǎng)絡風險評估有價值?圖37:網(wǎng)絡風險評估頻率您的組織多久進行一次網(wǎng)絡風險評估?2%2%每月20%每7-12個月每1-2年2年或以上不知道每1-6個月從不每年網(wǎng)絡保險2024年網(wǎng)絡安全現(xiàn)狀調(diào)查中增加了關于網(wǎng)絡保險的主題。網(wǎng)絡保險相關問題詢問了受訪者對其企業(yè)購買的網(wǎng)絡保險類型的了解，保單是否足以應對網(wǎng)絡風險，以及他們的企業(yè)網(wǎng)絡保險政策是否曾經(jīng)被使10%的受訪者報告稱，他們的企業(yè)擁有第一方網(wǎng)絡保險(見圖38),這類保險通常涵蓋與網(wǎng)絡事件的調(diào)查和響應相關的成本，并包括對業(yè)務運營的財務影響。16%的受訪者表示，他們的企業(yè)只有第三方網(wǎng)絡責任保險，該保險為網(wǎng)絡事件引發(fā)的損害賠償索賠提供財務補償。15%的受訪者表示，他們的企業(yè)同時擁有第一方和第三方網(wǎng)絡保險。14%的受訪者企業(yè)沒有網(wǎng)絡保險。數(shù)據(jù)中的一個重要信息是，近一半的受訪者不知道其企業(yè)擁有何種類型的網(wǎng)絡保險。調(diào)查結果顯示，受訪者對企業(yè)網(wǎng)絡保險的了解與企業(yè)規(guī)模有關；具體來說，報告對企業(yè)網(wǎng)絡保險一無所知的受訪者中，最多的是在員工超過10,000人的企業(yè)工作。從地區(qū)角度來看，57%的大洋洲受訪者不了解所在企業(yè)投保的網(wǎng)絡保險類型，其次是北美(49%)和歐洲(43%)。盡管對網(wǎng)絡安全專業(yè)人士是否需要了解企業(yè)投保的網(wǎng)絡保險類型可能存在不同觀點，但擁有這些知識的好處包括能夠幫助規(guī)劃事件和其他可索賠事件，以及隨后的響應(例如，事件響應預案)?？紤]到企業(yè)風險狀況高度影響網(wǎng)絡保險保費，不了解情況可能導致組織在保險覆蓋范圍不符合預期時感到沮喪。最后，保險公司越來越要求最低水平的安全措施；因此，為企業(yè)獲取網(wǎng)絡保險的人員與關鍵安全專業(yè)人士之間的密切合作可以幫助降低風險狀況并改善保險費率。圖38:網(wǎng)絡保險類型您的組織投保哪種網(wǎng)絡保險(如有)?●不知道●不知道●第一方和第三方都有96%擁有網(wǎng)絡保險企業(yè)的受訪者報告說，他們的企業(yè)網(wǎng)絡保險保單至少在某種程度上解決了他們的企業(yè)風險狀況(見圖39)。這些受訪者中有三分之一報告說他們的企業(yè)使用過其網(wǎng)絡保險保單(見圖40)。在那些知道其圖39:網(wǎng)絡保險的充分性您組織的網(wǎng)絡保險保單是否充分解決了您的風險狀況?圖40:網(wǎng)絡保險的使用情況保險公司越來越要求最低水平的安全措施；因此，為企保險公司越來越要求最低水平的安全措施；因此，為企業(yè)獲取網(wǎng)絡保險的人員與關鍵安全專業(yè)人士之間的密切合作可以幫助降低風險狀況并改善保險費率。大約三分之一的受訪企業(yè)擁有超過25人組成的安全團隊(見圖41),但平均員工規(guī)模為16人。ISACA在《2024年網(wǎng)絡安全現(xiàn)狀調(diào)查報告》中增加了關于在安全運營中使用人工智能的問題。圖42展示了AI在受訪企業(yè)安全運營中的應用。威脅檢測/響應(28%)和終端安全(27%)是最受歡迎的AI應用。那些報告其企業(yè)正在增加對AI或自動化應用以減少網(wǎng)絡安全技術技能差距的受訪者，仍表示他們的網(wǎng)絡安全團隊人員不足。圖41:安全團隊規(guī)模請說明您的安全人員規(guī)模。圖42:AI在安全運營中的應用您的組織是否在以下任何安全運營中使用AI?28%28%24%欺詐檢測其他以上都不是選擇不回答不知道端點安全自動化常規(guī)安全任務自動化威脅檢測/響應20%C2024ISACA。版權所有。安全運營只是AI可以幫助企業(yè)的領域之一。ISACA尋求了解受訪者如何參與AI政策和為業(yè)務其他領域引入解決方案。當被問及受訪者或其團隊中的任何人是否參與了AI解決方案的開發(fā)、引入或?qū)嵤r，受訪者的回答令人沮喪(見圖43)。近一半(45%)的受訪者報告沒有參與，這在歐洲、印度、拉丁美洲、北美和大洋洲的數(shù)據(jù)中都是如此。12%的受訪者表示該問題不適用于其組織。在不同的網(wǎng)絡安全人員配備和預算觀點中，回答都是相似的。在員工超過10,000人的企業(yè)中的受訪者報告的參與度低于較小組織的受訪者，這是可以理解的，并為增加決策過程中的合作和透明度提供了機會。當被問及受訪者或其團隊中的任何人是否參與了制定管理其企業(yè)中AI技術使用的政策時(見圖44),受訪者的回答同樣令人失望。只有35%的受訪者報告有參與。10%的受訪者表示該問題不適用于其組織。在500-4,999名員工的企業(yè)中工作的受訪者報告的參與度高于在少于500名員工的企業(yè)中工作的受訪者。圖43:AI生命周期的參與您或您團隊中的任何人是否參與了您或您團隊中的任何人是否參與了AI解決方案的開發(fā)、引入或?qū)嵤?29%45%不確定不適用于我的組織50%60%70%80%是否30%40%20%0%圖44:AI政策的參與您或您團隊中的任何人是否參與了制定管理您組織中AI技術使用的政策?35%35%41%不確定不適用于我的組織40%50%60%70%80%90%100%10%20%30%是否0%就緒性ISACA全球網(wǎng)絡安全狀況調(diào)查已經(jīng)進行了十年。雖然對于一個相對較新的職業(yè)來說，10年是一段相當長的時間，但調(diào)查報告中的