中小型企业（SMB）是构建网络安全生态系统的重要组成部分，但其薄弱性也成为恶意行为者窃取敏感数据和国家机密的关键入口。防范这些网络攻击的方法是使用网络安全成熟度模型认证（CMMC）建立合理的安全基线，然后进一步采用强化检测-响应的思维方式和持续的威胁监控来缩小攻击面。

为了更好地了解中小型企业是如何保护自己的，Radicl公司针对581名IT从业人员展开了调查，并形成了《2024年网络安全成熟度报告》。在报告中，受访者分享了他们对当前网络安全状况的见解，他们面临的最大安全挑战，他们与外包服务提供商合作的经验，以及他们目前在CMMC合规性方面的立场。希望这些发现能够帮助组织了解行业目前在安全性方面的立场，并将自身的努力与同行进行比较，以更好地完善网络安全态势。

关键发现

• 61%的人将网络安全视为“非常高”或“高”优先级；67%的人认为他们的安全技能水平非常高或很高。
• 59%的受访者需要一周或更长时间才能检测到环境中的威胁。此外，64%的受访者表示，对勒索软件或数据泄露做出反应需要两天或更长时间，39%的受访者表示，对遭遇勒索软件攻击不会感到意外。
• 46%的人表示，与网络安全相关的事件对其组织造成了10万美元的损失。其中，12%的人表示损失成本超过50万美元。
• 60%的组织在过去一年中有4个或更多的用户账户或电子邮件遭到入侵。此外，59%的组织在过去一年中有4个或更多的终端受到攻击。
• 组织面临的最大安全挑战是实现和维护法规遵从性（包括CMMC）。此外，他们还面临着保护敏感数据免受破坏和泄露，以及在有限的预算和资源情况下采取全面的网络安全措施等相关挑战。
• 外包供应商面临的最大挑战是对安全问题和事件的响应时间不足。其他挑战还包括对合规管理（尤其是CMMC）的有限支持，以及交付的总体价值过于昂贵。
• 81%的受访组织已启动CMMC合规流程。然而，只有13%符合Level 1要求，11%符合Level 2要求。

当前的网络安全计划现状及挑战

在本节中，受访者介绍了他们的网络安全计划的现状以及他们面临的最大挑战。

61%的人将网络安全视为“非常高”或“高”优先级

在未来一年，加强网络安全措施是一项关键优先事项，25%的人表示这是一个“非常高”的优先事项，36%的人表示这是一个“高级”优先事项。23%的人认为这是一个“中级”优先事项，只有9%的人将其视为“低”优先级，7%的人将其视为“非常低”优先级。

75%的受访组织有三个或更多的员工负责安全工作

数据显示，38%的公司有四个或更多的员工将至少四分之一的时间用于安全工作，37%的公司有三个人负责安全工作。12%的公司有两个人至少花四分之一的时间在安全上，6%的公司有一个人负责安全工作，只有7%的公司没有人负责安全工作。

67%的人认为他们的安全技能水平非常高或很高

在评价其内部安全团队的技能水平时，28%的受访者认为他们的技能水平非常高，而39%的人认为他们的技能水平很高。18%的人认为他们的安全团队技能水平中等，8%的人认为他们的技能水平较低，只有6%的人认为他们的技能水平非常低。

59%的人需要一周或更长时间才能检测到环境中的威胁

调查显示，14%的受访者能够在一小时内检测到绕过其防御机制并在其IT环境中运行的威胁，22%的人能在一天内发现。32%的人需要一周，13%的人需要一个月。5%的人需要长达一年的时间才能发现威胁，9%的人需要一年多的时间。最后，5%的人不确定需要多长时间。

64%的受访者称，对勒索软件或数据泄露做出反应需要两天或更长时间

如果发生勒索软件或数据泄露事件，受访者需要多快进行全面调查并制定全面的事件响应计划？对15%的人来说，需要一个小时，对另外15%的人来说，需要一天。29%的人表示需要2到3天，21%的人表示需要4到6天。而14%的人则需要一周或更长时间。最后，5%的人不确定需要多长时间。

59%的受访组织在过去一年中有4个或更多的终端遭到入侵

只有5%的受访组织表示，在过去的12个月里，他们的终端都没有受到病毒或恶意软件的侵害。6%的组织有一个端点受到威胁，26%的组织有两到三个端点受到侵害，27%的组织有四到十个端点受到威胁。23%的组织有高达11到19个端点受到影响，9%的组织有20个或更多端点受到入侵。最后，4%的组织不确定遭受过多少次入侵。

60%的组织在过去一年中有4个或更多的用户账户或电子邮件遭到入侵

只有7%的受访组织表示，在过去的12个月里，他们的用户账户或电子邮件地址都没有遭到泄露。5%的组织有一个账户被盗，24%的组织有两到三个账户被盗，26%的组织有四到十个账户被盗。23%的组织有11到19个账户被盗，11%的组织有20个或更多账户遭到入侵。最后，4%的组织不确定遭遇过多少次入侵。

39%的受访者不会对遭遇勒索软件攻击感到惊讶

受访者表示，如果遇到以下情况，他们不会感到惊讶。换句话说，他们知道自己可能存在安全漏洞或漏洞，从而导致如下情况：

• 勒索软件攻击（39%）；
• 密码泄露（38%）；
• 数据盗窃（37%）；
• 运营中断（36%）；
• 商业电子邮件欺诈（36%）；
• 端点病毒/ 恶意软件（23%）。

总体而言，受访者认为他们缺乏防范勒索软件、密码泄露和数据盗窃的能力，而相对有能力防范端点病毒或恶意软件、运营中断和商业电子邮件欺诈。

46%的人表示，与网络安全相关的事件使其组织损失了10万美元或更多

从经济角度来看，与网络安全相关的事件在时间、生产力或现金损失方面造成了多少损失呢？对6%的人来说，成本为零。然而，8%的人表示他们的损失成本不到1万美元；19%的人认为在10001美元到50000美元之间；21%的人表示成本在5万到10万美元；17%的人认为在10万到25万美元；17%的人表示在25万到50万美元；12%的人则表示超过50万美元。

总体而言，46%的受访者在网络安全相关事件中损失了10万美元或更多。

网络安全的六大挑战

当涉及到管理和执行有效的网络安全计划时，受访组织表示主要面临以下关键挑战：

• 实施和维护法规遵从性，包括网络安全成熟度模型认证（CMMC）。58%的受访组织正在努力实施CMMC合规，以满足政府承包商的要求。
• 保护敏感数据免受破坏和泄漏。31%的组织面临的挑战是创造有效的方法并采取行动来防止数据泄露。
• 管理有限的预算和资源来开展全面的网络安全措施。31%的组织努力在有限的预算或资源下建立一个强大、有效的网络安全计划。
• 跟上不断变化的网络威胁形势。25%的组织面临的另一个挑战是通过主动的威胁搜索和情报来领先恶意行为者一步。
• 对员工进行安全最佳实践教育和培训。24%的组织认为提高内部安全知识和意识是一大挑战。
• 管理第三方或供应商的安全风险。24%的组织不仅需要管理自身的风险，还要努力管理第三方或供应商的风险。

其他挑战还包括招聘和留住技能娴熟的网络安全人员（22%）、制定一个有凝聚力和集成的网络安全战略（22%）、确保业务连续性和灾难恢复计划（19%）、平衡安全需求和运营效率（19%）、实施强大的访问控制和身份管理系统（13%）、保持最新的安全技术和工具的更新（9%）或其他挑战（2%）。

外包服务的现状及挑战

对于大多数受访者来说，他们的安全方法包括将各种功能外包给第三方服务提供商。但是，这些服务提供商是否满足了他们的安全需求，或者中小企业是否仍然像以前一样面临挑战？以下是受访者对其外包经验的一些见解，以及外包服务面临的关键挑战。

TOP 3 IT或安全外包服务

调查显示，受访组织使用的顶级IT或安全外包合作伙伴包括以下几种：

• 71%的组织使用托管安全服务提供商（MSSP）来提供网络安全和监控功能；
• 60%的组织使用托管检测和响应（MDR）以执行威胁搜索和事件响应功能；
• 55%的组织使用托管服务提供商（MSP）来提供更广泛的IT运营服务。

除此之外，受访组织还使用增值经销商（VAR，占比53%）、网络安全顾问（44%）、合规顾问（28%）或其他选择（12%）。

77%的受访组织每年在外包安全上花费50001美元或更多

数据显示，7%的组织每年在外包安全上的花费少于2万美元；13%的组织花费在20000美元到50000美元之间；34%的组织花费5万至10万美元；34%的组织花费10万至25万美元；9%的组织花费超过25万美元。最后，3%的组织未花费任何钱，因为他们不外包安全。

总体而言，77%的企业每年在外包安全上花费50001美元或更多。

外包的主要原因

调查显示，以下是将安全运营职能外包给服务提供商的主要影响因素：

• 与建立和维持一个内部团队相比，外包更具成本效益。51%的受访者认为在有限的预算和资源下，转向外包供应商更有助于节省成本。
• 可扩展性和灵活性，以适应不断变化的业务需求。45%的受访者认为外包供应商比内部团队更具可扩展性和灵活性，有助于解决持续“保持领先”所需的资源难题。
• 获得专业知识和技术技能。44%的受访者表示因为缺乏一个强大的内部网络安全团队，他们会求助于外包供应商来获取支持。
• 通过使用先进的安全工具和技术，改进安全态势。42%的组织认为外包服务提供商拥有其无法为内部团队购买的最先进的工具和技术。
• 能够将内部资源集中在核心业务功能上。34%的组织表示能够将有限的内部资源集中在关键业务领域是其决定外包的主要原因。

其他影响外包的原因还包括满足行业法规和标准，包括CMMC（31%），以及通过全天候监控增强事件响应能力（9%）。

外包服务挑战

虽然许多组织都在实施外包项目，但他们不一定能获取预期的结果。调查显示，他们在外包供应商处遇到的最大挑战包括以下几点：

• 对安全问题和事件的响应时间不足（37%）。当涉及到安全问题时，几秒钟就能决定一切——然而外包服务提供商的反应速度还不够快。
• 对合规管理的支持有限，尤其是CMMC（35%）。35%的组织认为最大的挑战是实施和维护CMMC的合规性，因为他们发现这是其外包供应商做不到的。
• 整体交付成本过于昂贵（34%）。组织转向外包服务提供商是为了节省成本，但最终却觉得自己没有获得价值回报。
• 缺乏技术专长或专业化（33%）。组织试图向外包服务提供商寻求专业知识，但却发现他们并不具备自己所宣传的能力。
• 服务质量不一致（32%）。32%的组织认为外包服务提供商的整体工作质量不稳定。

其他挑战还包括提供商和内部员工之间无效的工作流程和协作（26%），没有使用最新和最好的网络安全技术来实施保护（22%），他们代表受访者执行的工作缺乏透明度（20%）。只有8%的人表示，他们没有在当前的外包供应商处遇到任何挑战。

组织寻求的顶级服务提供商能力

对于新的外包服务提供商，以下是组织需要重点考量的关键品质和能力：

• 专业能力（50%）。供应商员工在网络安全专业知识和整体客户体验方面的能力至关重要。
• 综合服务（49%）。组织正在寻找全面的服务，并从单一提供商处获得大量的网络安全覆盖和功能。
• 响应式事件管理（40%）。考虑到供应商面临的最大挑战是响应时间慢，组织正在寻找对安全事件的快速、协调的响应，以最大限度地减少潜在的损害。
• 先进的技术（40%）。组织希望供应商利用最新的技术提供强大的保护，以应对不断变化的威胁。
• 透明的操作（35%）。组织希望有清晰、开放的沟通渠道，并对外包服务提供商代表他们完成的工作拥有透明的了解。
• 法规遵从性和认证支持（24%）。组织还希望从外包服务提供商处获取实现和维护合规性标准（包括CMMC认证）的指导帮助。

网络安全成熟度模型认证（CMMC）准备状态

为了保护与其有业务往来的公司，国防部推出了网络安全成熟度模型认证（CMMC），这是一套国防承包商必须遵守的网络安全认证。那么受访者的CMMC准备状态如何呢？

47%的受访组织非常熟悉CMMC要求

47%的组织非常熟悉并对CMMC要求有深入的了解。43%的组织对CMMC的要求有一定的了解。10%的组织不熟悉CMMC，对CMMC的要求了解有限或不了解。

81%的组织已启动CMMC合规流程

81%的组织已经启动了CMMC合规流程，而19%的人尚未启动。

满足CMMC合规性所需时间

受访者计划多久达到CMMC合规性？以下是受访者达到合规性所需的时间：

CMMC LEVEL 1

• 目前符合要求（13%）；
• 少于1年（32%）；
• 不到2年（28%）；
• 2年以上（14%）；
• 无法达到（12%）。

CMMC LEVEL 2

• 目前符合要求（11%）；
• 少于1年（20%）；
• 少于2年（36%）；
• 2年以上（26%）；
• 无法达到（8%）。

未来的战略和优先事项

在最后一部分中，我们发现受访者已经在展望未来一两年完成他们的CMMC需求。以下是他们在2024年优先考虑的事项，以提高他们的能力和改善他们的安全态势。

网络安全优先事项

受访者报告称，2024年网络安全的首要任务包括以下几点：

• 加强对敏感数据的访问控制策略和实施（38%）。考虑到组织面临的最大挑战之一是防止数据泄露和泄露，他们在2024年将重点放在加强网络和系统上。
• 实现或推进遵从性（例如，CMMC）需求（37%）。组织面临的最大挑战是确保合规性，特别是与CMMC的合规性，所以将他们专注于在2024年实现合规性。
• 跨大多数或所有系统部署多因素身份验证（34%）。组织将优先采取措施保护敏感数据，增加额外的步骤来证明访问的身份。
• 加强工作安全，防范外部威胁（28%）。在接下来的一年里，组织还想采取措施强化其网络能力，以强大的前线来对抗恶意行为者。
• 部署高级端点保护（例如，EDR技术）（24%）。考虑到59%的组织在过去的一年中有四个或更多的终端遭到攻击，他们正在采取更多的保护措施来完善端点保护。

其他优先事项还包括改进云安全监控和保护（23%），加强事件响应计划和执行能力（22%），进行定期漏洞评估或渗透测试（19%），改进日志分析和事件调查能力（16%），加强员工的安全意识和培训计划（16%），以及寻找外包安全提供商（例如MSSP、MDR）（7%）。

原文链接：

https://radicl.com/hubfs/DIB-CybersecurityMaturityReport_2024.pdf