與去年同期相比,盡管今年的安全事件數(shù)量降低了,然而引發(fā)損失的惡性事件數(shù)量卻有所增多,受到安全事件影響的公司比例也隨之提高。
在過(guò)去的一年里,企業(yè)安全團(tuán)隊(duì)可謂忙得焦頭爛額。Petya、NotPetya攻擊昭示了攻擊規(guī)模的急劇增大。近期某些政府開(kāi)發(fā)的攻擊軟件的泄露則讓黑客們?nèi)缁⑻硪?。IT行業(yè)則通過(guò)發(fā)布安全補(bǔ)丁和更新勉強(qiáng)跟上對(duì)手的步伐,但由于物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用,IT行業(yè)不得不應(yīng)對(duì)層出不窮的新漏洞。
一項(xiàng)新調(diào)查顯示,嚴(yán)峻的局勢(shì)促使很多企業(yè)反思該如何應(yīng)對(duì)網(wǎng)絡(luò)犯罪的威脅。該調(diào)查不僅揭示了美國(guó)企業(yè)面臨的威脅的性質(zhì)和范圍,也反映了這些企業(yè)的應(yīng)對(duì)方式。
《2017美國(guó)網(wǎng)絡(luò)犯罪調(diào)查》是美國(guó)特勤局和卡內(nèi)基梅隆大學(xué)軟件工程研究所的CERT(計(jì)算機(jī)緊急應(yīng)對(duì)小組)合作發(fā)布的一項(xiàng)年度報(bào)告。而今年的調(diào)查由Forcepoint贊助。該調(diào)查共有510名受訪者,70%的受訪者在各行業(yè)和公共部門就任副經(jīng)理或更高職務(wù)(其中35%從事企業(yè)管理工作)。調(diào)查涉及的企業(yè)的平均安全預(yù)算是1100萬(wàn)美元。
安全工作越來(lái)越受重視
企業(yè)層面的安全工作受到了越來(lái)越多的關(guān)注,即使安全工作有時(shí)很難在短期見(jiàn)效,它仍吸納了越來(lái)越多的資源投入?,F(xiàn)在,20%的首席安全官/首席信息安全官每月都要向董事會(huì)報(bào)告,高于去年同期的17%。然而,仍有61%的董事會(huì)認(rèn)為安全是一個(gè)技術(shù)問(wèn)題而非公司治理問(wèn)題。這一數(shù)字相比去年的63%減少得十分有限。
企業(yè)的IT安全預(yù)算在持續(xù)上漲,平均增長(zhǎng)幅度為7.5%。其中10%的受訪企業(yè)表示IT安全預(yù)算增長(zhǎng)超過(guò)了20%。這些款項(xiàng)被花在:新技術(shù)(40%,也包括新知識(shí))、審計(jì)和評(píng)估(34%)、培訓(xùn)新技能(33%)、知識(shí)共享(15%)。另外,分別有25%和17%的受訪企業(yè)表示,他們正斥資重建網(wǎng)絡(luò)安全策略和安全過(guò)程。
在網(wǎng)絡(luò)安全策略方面,令人驚訝的是,35%的受訪者認(rèn)為網(wǎng)絡(luò)應(yīng)對(duì)計(jì)劃并不是安全策略的一部分。好消息是,19%的受訪企業(yè)計(jì)劃在明年實(shí)行網(wǎng)絡(luò)應(yīng)對(duì)計(jì)劃。
雖然企業(yè)在使用移動(dòng)、云和物聯(lián)網(wǎng)這類新技術(shù),但是重視和投資的增長(zhǎng)讓公司對(duì)自身的安全性能有了更多的信心。76%的人認(rèn)為他們有專業(yè)知識(shí)解決這些威脅。不管怎樣,74%的受訪者說(shuō)他們比一年前更關(guān)心安全了,這相比去年的64%來(lái)說(shuō)是個(gè)飛躍。
安全事件減少但損失嚴(yán)重
根據(jù)受訪者評(píng)估,他們效力的企業(yè)在過(guò)去一年里發(fā)生的安全事件下降了8.2%,數(shù)量上從平均161起下降到了148起。盡管安全事件的數(shù)量下降了,但是68%的受訪者表示,企業(yè)遭受的損失和前一年持平或比之前更高。沒(méi)有遭受損失的企業(yè)的數(shù)量也從36%下降到30%。
盡管今年的安全事件數(shù)量降低了,然而引發(fā)損失的惡性事件數(shù)量卻有所增多。過(guò)去一年里,14%的受訪者表示自己的關(guān)鍵系統(tǒng)發(fā)生過(guò)中斷,而一年前這項(xiàng)數(shù)據(jù)是10%。10%受訪者損失了機(jī)密或私人信息,也比原來(lái)的7%有所提高。而破壞企業(yè)聲譽(yù)或影響客戶和合作伙伴的事件發(fā)生率都跌至了4%。
盡管事件總數(shù)下降了,然而釣魚攻擊和勒索攻擊數(shù)量上升了,而企業(yè)因網(wǎng)絡(luò)攻擊蒙受的損失也一并上升了。
如果你持續(xù)關(guān)注有關(guān)網(wǎng)絡(luò)攻擊的報(bào)道,就不會(huì)對(duì)這類網(wǎng)絡(luò)攻擊的增多感到奇怪。36%的受訪者表示受到了釣魚攻擊影響,高于去年的26%。勒索攻擊的影響比例也從14%上升到了17%。金融欺詐則從7%躍升到了12%。
重要安全建議
網(wǎng)絡(luò)犯罪調(diào)查結(jié)果表明,大多數(shù)企業(yè)都在努力提高防御水平來(lái)應(yīng)對(duì)或減少攻擊損失。報(bào)告還顯示,太多企業(yè)跟不上威脅環(huán)境的變化或同行的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。以下幾點(diǎn)可以幫助這些企業(yè)改變現(xiàn)狀:
1. 安全不僅僅是個(gè)IT問(wèn)題
越來(lái)越多的首席安全官/首席信息安全官要定期向董事會(huì)報(bào)告是有原因的:一個(gè)有效的網(wǎng)絡(luò)安全策略往往要自上而下開(kāi)展,并囊括公司的所有領(lǐng)域。企業(yè)高管更頻繁地聽(tīng)取安全報(bào)告、各部門派遣員工組建風(fēng)險(xiǎn)委員會(huì)是很好的第一步。
2. 加大對(duì)安全人員的投入
這意味著確保安全人員享有足夠的資源并經(jīng)受充足的培訓(xùn),來(lái)保證他們始終能應(yīng)對(duì)最新的威脅。另一件重要的事情是:參與共享威脅信息的組織,并加入他們的解決方案。
3. 減少威脅的視野盲區(qū)
39%的受訪者表示,陌生威脅的破壞力最驚人。陌生威脅平均會(huì)花費(fèi)92天才能被發(fā)現(xiàn)。所以明智之舉是評(píng)估你的入侵檢測(cè)工具和流程的有效性。
4. 建議一個(gè)長(zhǎng)期的員工安全意識(shí)培訓(xùn)體制
內(nèi)部人員引發(fā)的安全事故有28%源于疏忽或意外。由于基于欺騙的攻擊仍在飛速進(jìn)化,員工們有必要進(jìn)行定期、長(zhǎng)期的培訓(xùn)。
5. 評(píng)估您的供應(yīng)鏈或合作伙伴的網(wǎng)絡(luò)安全水平
由于小企業(yè)往往被當(dāng)作軟柿子,網(wǎng)絡(luò)罪犯通常會(huì)鎖定那些和大企業(yè)有業(yè)務(wù)往來(lái)的小企業(yè),以此為切入點(diǎn)來(lái)獲取大企業(yè)的數(shù)據(jù)。請(qǐng)確保這些小企業(yè)不是你的安全體系的軟肋。
6. 測(cè)試,測(cè)試,以及反復(fù)地測(cè)試
僅僅剛過(guò)半(53%)的受訪者表示,他們有方法測(cè)試安全體系的有效性。測(cè)試應(yīng)當(dāng)定期進(jìn)行,而且保持一定的頻率。網(wǎng)絡(luò)威脅態(tài)勢(shì)決定了企業(yè)必須遵循定期測(cè)試方案。