CyCognito委托OstermanResearch进行的一项调查显示,拥有大量子公司的跨国公司比没有子公司或子公司较少的公司更容易受到网络攻击安全威胁,而且更难以管理风险。该调查针对201家拥有至少10家子公司和超过3,000名员工或年收入超过10亿美元的公司。尽管对其子公司风险管理的有效性非常有信心,但约67%的受访者表示,他们的组织要么经历过包括子公司网络攻击在内的攻击链,要么不能排除这种可能性。大约一半的受访者承认,如果“明天”发生数据泄露,他们不会感到惊讶。这些受访者担任网络安全、合规或风险方面的管理职位。每家接受采访的公司都有专门负责监控次级风险的员工。OstermanResearch高级分析师MichaelSampson表示:“我们希望了解公司面临的威胁和风险,不仅仅是公司刚刚收购或合并的子公司,更重要的是那些已经存在多年或更长时间的子公司.鉴于网络安全挑战、风险和问题在不断变化,即使一家公司今天没有网络安全事件的干净历史,我敢打赌,随着新漏洞的发现或突出,这种安全状况将继续下降。桑普森表示,如果子公司不知道资产和数据源暴露,或者选择向母公司隐瞒此类暴露,这些漏洞可能会被忽视,并在以后发展成重大问题。子公司面临多重安全风险调查报告强调以合规为代价安全性、复杂的合并流程、不经常执行且冗长的风险管理流程、过度使用手动工具以及补救和检测结果之间的滞后,这些是子风险管理的主要障碍。宏观趋势和业务运营环境正在塑造安全运营现实报告称,例如,在子公司的首要问题方面,69%的受访者提到了新冠肺炎疫情引发的数字化转型,56%的受访者指出近期主要供应链问题频发。世界各地的攻击。“我认为我们将看到公司采取网络安全越来越严重,一些网络安全威胁在过去五年中已经众所周知,”桑普森说。“供应链勒索软件和商业电子邮件妥协(BEC)是最常见的一些。两种类型。”报告强调,企业在子公司风险监控上更注重合规性而非安全性,导致子公司设立和管理过程中存在漏洞,导致更多攻击事件发生。设立子公司本身就是一项复杂的工作,只有约5%的受访者确认有成熟的无缝整合新业务部门的流程,而其他人则抱怨母公司和子公司的负担都很大。工作量。受访者表示,目前实施的子公司管理操作过于稀疏,因为所收集数据的即时性,它只提供了一个很快就会过时的快照视图。此外,大多数受访者认为,当前的流程没有充分涵盖组织的潜在攻击面,留下了漏洞并经常产生大量误报,需要花费时间和精力来解决。风险评估耗时太长另一个重要的考虑因素是与子公司相关的风险评估耗时。目前,54%的受访企业平均花费1周至3个月的时间进行风险评估,71%的企业希望将风险评估时间缩短至1天以内。受访者还指出安全漏洞检测和补救之间存在滞后。大约73%的受访者表示,从检测到安全漏洞到修复漏洞之间有一周到一个月的时间间隔。这种滞后会造成非常危险的攻击机会。更糟糕的是,管理安全风险所需的大量工具只会增加整体处理时间。根据该报告,与子公司数量较少的公司相比,拥有大量子公司的公司需要额外一个月或更长时间来修复检测到的安全漏洞的可能性要高50%。母公司拥有至少17家子公司的受访者表示,他们的子公司更有可能多次卷入网络攻击链,这一可能性几乎是子公司数量较少的受访者的两倍。网络安全公司CyCognito的创始人兼首席执行官RobGurzeev表示:“子公司风险管理的挑战在于,母公司和子公司可能位于不同的国家,并且可能使用完全不同的技术堆栈、流程、沟通方式和文化。如果我是一家企业甚至整个集团的首席安全官,我可能对这些其他企业的资产一无所知,那么即使我知道风险,我也没有上下文去应对用它。”虽然1990年代后期的漏洞管理和渗透测试通常仅限于一家公司连接互联网的几台服务器,但过去几十年的云工作已经向成千上万的工程师、供应商、合作伙伴和第三方开放了系统框架派对。Gurzeev说,在已经扩展的网络架构中添加子公司只会增加攻击面,需要更有效的对策。
