●企业之间的联系变得空前紧密,这种联结性使得企业面临遭受网络攻击的极高风险。
●创新型企业能够大胆假设未来可能发生的威胁并构建敏捷的网络安全体系,从而适时做出快速响应。
●中国企业除了应对各类攻击与威胁,还必须及时跟进与了解日益严峻的监管要求,关注合规风险。
近日,《安永第20届全球信息安全调查报告(GISS):重铸网络安全,直面网络攻击》(以下简称《报告》)正式发布。该报告是安永持续第20年发布的全球信息安全调查报告,旨在探索当今企业所面对的最重要网络安全议题。调查结果显示,企业之间的联系变得空前紧密,这种联结性使得企业面临遭受网络攻击的极高风险。
安永调查表明,大部分企业均在不断增加网络安全方面的支出,超过90%的受访者表示他们预计今年会在这方面有更高的预算,高于去年的55%。网络威胁的日益增加要求企业给出更为积极的响应,87%的受访企业表示需要超过50%的预算上浮,但仅有12%的企业预计实际涨幅将超过25%。相比于全球约4%受访企业中选择降低网络安全预算,中国(包括大陆、香港、澳门和台湾)所有的受访企业在过去12个月以及未来12个月内均保持或增加预算。
本次调查就网络安全管理工作最迫切的关注点,对近1200名来自全球规模最大、最为知名企业的C级管理人员进行了调研访谈。
新技术带来新风险
安永全球信息安全咨询服务主管Paul van Kessel称:“新技术所带来的紧密联结性和新浪潮在创造巨大机会的同时,也给企业引入了新的风险。不仅是数据和隐私容易遭受攻击,物联网的应用将企业的运营科技暴露给攻击者,使攻击者有机会中断或破坏工业控制等系统。因此,随着企业逐渐进入数字化时代,他们必须从各个角度审视自己的数字生态系统,以保护他们当前、近期与未来的业务。近期最成功的网络攻击采用了常规方法,即利用企业已知漏洞。”
安永亚太区信息安全咨询服务主管Richard Watson认为:“身处复杂且不断变化的格局之中,企业很容易会一叶障目而无法顾全大局,因为网络安全威胁常常被加以伪装,隐藏于企业的视野之外,尽管所有企业都在董事会层面探讨网络安全,并做出巨额投资,但是他们并不清楚应该解决什么问题。”
许多受访企业还认识到,缺乏充分的资源以落实适当网络安全措施将使企业难以管理其面临的风险,有56%的受访企业表示,他们正在调整其战略和规划,以便将网络威胁导致的风险纳入考量,或者他们正打算在此基础上重新审视其企业战略。但是,有20%的受访企业承认,他们尚未充分认识到对当前信息安全影响和漏洞进行评估的必要性。仅有4%的企业自信地表示,他们已经将信息安全影响充分纳入当前战略,并在其风险格局中对相关网络威胁、漏洞和风险加以考虑和监控。
安永大中华区信息安全咨询服务主管阮祺康先生表示,将信息安全影响充分纳入当前战略并在其风险地图中对相关网络威胁、漏洞和风险加以考虑和监控是十分具有前瞻意识的表现,并且也将是未来企业风险管理的新趋势。将网络安全置于企业战略的核心地位有助于维持,甚至提高客户、监管方与媒体对企业的信任。
网络威胁无处不在
在如今的互联世界里,所有企业都默认应用了数字化的模式。企业运营无处不体现着互联网时代的文化特质、科技以及流程,广袤的数字化蓝图使得企业占有或使用的每一项资产都是网络中的一个节点。网络攻击者在这样的环境中可能是无差别或具有高度针对性的攻击者,攻击着或大或小的、或公共或私营部门的组织。
2017年发生的多起勒索软件事件对全球各企业造成极大影响。安永调查显示:全球有43%的受访企业认为恶意软件是其面临的最大威胁,与钓鱼邮件并列首位,明显高于中国区的16%(恶意软件)和12%(钓鱼邮件)。
从漏洞角度来看,中国受访企业表示最有可能的攻击来源依次为黑客(54%),粗心的员工(50%) 和恶意员工(47%),这与全球的调查结果有着较大差异:粗心的员工(77%)、犯罪集团(56%)和恶意员工(47%)。
打造防御体系
安永信息安全咨询服务合伙人胡立基先生提到:“企业可能会面对水平参差不齐的攻击者,他们能够也必须与之进行对抗。企业既要专注抵御那些最为常见或较容易应对的攻击,同时也要有意识地采取细致入微的方法来应对那些高级和新兴类型攻击。鉴于某些攻击不可避免地会影响企业的防御系统,因此企业同样需要关注怎样才能最快发现及修复这些漏洞,及其如何提高应对措施的有效性。”
55%的大中华区受访企业表示在未来12个月中,将把数据防泄漏作为高优先级的信息安全任务,而业务连续性/灾难恢复(42%)和隐私保护(39%)紧随其后,这三个领域都远远高于全球水平的11%,11%和20%。这与2017年6月1日起正式生效的《网络安全法》密切相关,该法是中国境内首部涉及网络安全的专门性综合性法律,中国企业除了应对各类攻击与威胁,还必须及时跟进与了解日益严峻的监管要求,关注合规风险。
网络攻击响应
企业的防御网络遭到攻破,只是时间的问题,能够认清这一点并在此基础上运营的企业是明智的。如果企业具备一套能够在发现漏洞时自动启动的网络漏洞响应计划(CBRP),那么企业将会最大程度减轻网络安全事件的影响。但是,CBRP必须覆盖整个企业,而且必须由某个具有相关经验和知识的人来管理企业在运营和战略层面的响应。CBRP框架包括网络安全、业务持续性规划、合规、公关与通讯、诉讼、保险。
《报告》强调了以“感知、抵御、应对”为中心原则构建网络安全弹性的重要性。《报告》指出,这些必要措施相比以往任何时候都更重要:了解威胁格局并拥有强大防线的企业将更有可能抵御攻击并识别越过安全防线的攻击者。那些有能力对攻击者做出还击的企业也能够迅速行动,来减轻攻击者所能带来的损害。
感知、抵御、应对应该应用于:常规攻击方式、高级攻击方式、新兴攻击方式。“感知”指检测即将来临的潜在风险,是良好网络安全的基础。“抵御”指实现反击,保护企业免遭网络风险威胁,继续强化这一基础。“应对”指发展响应网络攻击的能力,在出现破坏时,可快速、有效地做出反应,是完善整个过程的最后一步。
安永信息安全咨询服务合伙人顾卿华先生指出:“在未来,企业将会相互合作,共享信息,以提升网络弹性。企业迫切需要将网络安全视为一个重要的信息科技议题,并将重点放在设计和建设良好的网络安全治理架构上面。”
(此文不代表本网站观点,仅代表作者言论,由此文引发的各种争议,本网站声明免责,也不承担连带责任。)