iThome
近半數企業今年要展開資安轉型,3成要推動零信任資安,尤其是金融業與政府學校,更有近半企業將零信任資安列為今年投資重點。
企業在2024年如何布局資安投資,來支援這兩大目標呢?我們將34項資安投資重點,對應到美國銀行首席安全科學家Sounil Yu在2016年發明的網路防禦矩陣CDM(Cyber Defense Matrix)。
CDM是一個5乘5的矩陣,橫軸包括了NIST CSF的五大類別,項目包括:識別、保護、偵測、回應、復原,而縱軸則是以資產類別來畫分,包括了設備、應用程式、網路,資料與人員等項目。
在34項資安投資中,依據企業在2024年對每一項的採用率數據,分為企業2024年採用率最高的Top10,Top11~20,Top21~30三類,分別以深藍色、淺綠色和紅色來區分,並且界定出每一項資安投資所對應的NIST CSF五大類別,以及可保護的資產類別,再對應到CDM這個矩陣上,可以繪製出2024年企業資安投資的CDM網路防禦矩陣圖。
可以看到Top30採用項目涵蓋的重點分散,多落在保護和識別,也不一定能在不同防禦面向上,涵蓋到各類資產,像是散彈打鳥的瞄準重點,防護性不夠完整。
採用率Top20的項目,納入了零信任資安的三大做法,身分與設備識別、網路分段、信任推斷,因此涵蓋到各類資產的識別和防護。只有少數企業可以更全面的涵蓋到偵測、回應和復原。
企業可以將自己的資安投資重點,繪製出同樣的網路防禦矩陣,來和整體產業的CDM矩陣比對,可以用來比較整體產業資安戰略的分布和自家戰略的差異,作為調整資安戰略的參考。
.png)
問卷說明 iThome資安大調查執行期間從2024年2月15日到3月15日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷422家。填答者中,企業CIO則占了71.8%,企業資安最高主管則占了62.8%。產業分布上,一般製造業17.8%、高科技製造業22.7%、服務業23.7%、金融業12.8%、醫療業13.3%、政府與學校則占了9.7%。
熱門新聞
2024-06-24
2024-06-21
2024-06-24
2024-06-25
2024-06-24
2024-06-24