信息來源:安全牛
企業(yè)認(rèn)識(shí)到了網(wǎng)絡(luò)風(fēng)險(xiǎn)規(guī)模,卻缺乏可構(gòu)筑彈性的對(duì)策���。
NTT Security 對(duì)全球 22 個(gè)不同國(guó)家的 2,200 家企業(yè)進(jìn)行了調(diào)查研究��,其 2019《風(fēng)險(xiǎn):價(jià)值》報(bào)告中指出:網(wǎng)絡(luò)攻擊 (43%)�����、數(shù)據(jù)遺失或被盜 (37%) 和針對(duì)電信及能源網(wǎng)絡(luò)的關(guān)鍵基礎(chǔ)設(shè)施攻擊 (35%)�,是受訪者最為擔(dān)憂的�。他們認(rèn)為這些威脅將在未來一年內(nèi)給自家企業(yè)帶來更大風(fēng)險(xiǎn)����,危害程度超出貿(mào)易壁壘和其他重大全球性事件,比如環(huán)境問題�����、恐怖主義和政府措施失效�。
幸運(yùn)的是,企業(yè)逐漸意識(shí)到了強(qiáng)化網(wǎng)絡(luò)安全的需求�。84% 和 85% 的公司企業(yè)分別表示�����,強(qiáng)化信息安全和保護(hù)數(shù)據(jù)完整性����,與業(yè)務(wù)連續(xù)性同等重要��,甚至超出盈利增長(zhǎng)的重要性�。90% 的受訪者認(rèn)為強(qiáng)網(wǎng)絡(luò)安全有益于自己的公司。
網(wǎng)絡(luò)安全策略與事件響應(yīng)計(jì)劃缺失
然而�����,很多公司企業(yè)甚至連基本的安全水平都維持不好�。僅 58% 的受訪者設(shè)置有正式的安全策略,且其中僅 48% 稱其員工知道該安全策略的內(nèi)容���,意味著僅 28% 的公司擁有員工廣為理解的安全策略���。事件響應(yīng)計(jì)劃描述發(fā)生安全事件時(shí)利益相關(guān)者應(yīng)采取的行動(dòng),這也是受訪公司企業(yè)的一大短板���。僅 52% 的受訪者設(shè)置有事件響應(yīng)計(jì)劃����。其中又僅 57% 的受訪公司其員工切實(shí)知曉響應(yīng)計(jì)劃的內(nèi)容——雖然比 2018 年高了 3%。潛在后果很明顯:如果他們?cè)庥龀晒Φ木W(wǎng)絡(luò)攻擊��,這些企業(yè)對(duì)自身計(jì)劃的不熟悉將會(huì)導(dǎo)致事件處理舉步維艱���,即便跌跌撞撞蒙混過關(guān)���,也會(huì)耗費(fèi)更長(zhǎng)的時(shí)間恢復(fù)。
風(fēng)險(xiǎn)一直增加�����,安全預(yù)算卻原地踏步
除了規(guī)劃上的短板�,公司企業(yè)還沒跟上不斷增長(zhǎng)的 IT 依賴與風(fēng)險(xiǎn)。平均來看�����,15% 的 IT 預(yù)算導(dǎo)向安全�,但自去年開始����,歸于安全的運(yùn)營(yíng)預(yù)算卻降到了 16%����。這就很麻煩了�����,尤其是在物聯(lián)網(wǎng) (IoT) 和聯(lián)網(wǎng)運(yùn)營(yíng)技術(shù)(如工業(yè) 4.0)激增導(dǎo)致攻擊界面指數(shù)級(jí)增長(zhǎng)的情況下�����。
德國(guó) (14%) 和瑞士 (12%) 的公司分給安全的 IT 預(yù)算占比最少�。建筑和制造行業(yè)花在安全上的開支最少,IT 預(yù)算中僅 13% 分配給了安全�。考慮到投入應(yīng)對(duì)風(fēng)險(xiǎn)的資源如此微不足道�����,制造行業(yè)廣為使用的運(yùn)營(yíng)基礎(chǔ)設(shè)施中引入的潛在破壞性威脅就相當(dāng)令人頭痛了�。
1/3 的公司寧可支付贖金
NTT 研究中值得注意的一項(xiàng)發(fā)現(xiàn)是愿意支付贖金的公司數(shù)量令人驚訝。1/3 的受訪者寧愿向罪犯交出贖金�����,也不愿投資網(wǎng)絡(luò)安全。他們聲稱:“這樣更便宜��?�!?這種想法既危險(xiǎn)又天真���,因?yàn)檫@只會(huì)鼓勵(lì)壞人再次前來��,胃口還可能比第一次大����。
同樣比例的受訪者稱寧愿支付贖金也不愿因違規(guī)而受罰��,暴露出對(duì)違規(guī)后果的恐懼���,和對(duì)處理重要監(jiān)管問題及實(shí)現(xiàn)健壯事件響應(yīng)計(jì)劃能力的自信匱乏���。這一狀況令人擔(dān)憂,因?yàn)榫W(wǎng)絡(luò)罪犯是日漸精進(jìn)的����。事實(shí)上�,網(wǎng)絡(luò)犯罪正在經(jīng)歷工業(yè)化浪潮,大規(guī)模犯罪集團(tuán)結(jié)成繁榮地下經(jīng)濟(jì),估計(jì)年產(chǎn)值甚至超 1.5 萬億美元之多�。而且一些民族國(guó)家正在擴(kuò)張其網(wǎng)絡(luò)戰(zhàn)能力,比如收集情報(bào)�����、破壞關(guān)鍵基礎(chǔ)設(shè)施��,或者幫助其本地經(jīng)濟(jì)�。
網(wǎng)絡(luò)攻擊和客戶記錄泄露的開銷已上億。例如最近萬豪酒店就泄露了 3.83 億客戶記錄和超 500 萬護(hù)照號(hào)���,F(xiàn)acebook 也曝光了 5.4 億客戶數(shù)據(jù)�。
高管認(rèn)為網(wǎng)絡(luò)安全是 IT 任務(wù)
安全措施協(xié)調(diào)性差可能源于欠佳或耳目閉塞的高層領(lǐng)導(dǎo)��。NTT 調(diào)查研究揭示�,84% 的受訪者稱他們認(rèn)為網(wǎng)絡(luò)安全應(yīng)該是董事會(huì)議題,但僅 72% 的受訪者稱確實(shí)是董事會(huì)議題���。1/4 (23%) 的受訪者稱公司內(nèi)有人負(fù)責(zé)管理日常安全(比如 CISO)���,但僅 13% 的受訪者稱此人對(duì)網(wǎng)絡(luò)安全負(fù)有最終責(zé)任。
全部受訪者中近半數(shù) (45%)����,首席級(jí)高管受訪者中超過一半的人 (57%)����,認(rèn)為網(wǎng)絡(luò)安全是 IT 部門的問題�。這凸顯出了網(wǎng)絡(luò)安全和高管間常常存在的認(rèn)知缺口。很明顯�,過去兩年間情況幾乎一成不變,即使一次成功攻擊即可造成重大經(jīng)濟(jì)和法律后果����。聰明的企業(yè)領(lǐng)導(dǎo)需培育不一樣的企業(yè)思維,甄別出自家企業(yè)數(shù)字策略中的風(fēng)險(xiǎn)���。
結(jié)語
網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)的首要考慮��。確實(shí)如此�����,因?yàn)閷?duì) IT 正常運(yùn)轉(zhuǎn)時(shí)間和彈性的依賴從未如此巨大�����。但是企業(yè)董事會(huì)應(yīng)超越意識(shí)和言辭��,落實(shí)到行動(dòng)上����,切實(shí)減少企業(yè)風(fēng)險(xiǎn)暴露面�,確保長(zhǎng)期成功。
更嚴(yán)格的監(jiān)管框架和更高的違規(guī)罰款��,正激發(fā)整個(gè)企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)和對(duì)合規(guī)的需求����。但還需刺激企業(yè)治理的進(jìn)化發(fā)展。模擬時(shí)代行之有效的解決方案(比如簡(jiǎn)單地將安全置于 IT 之下)已不在足夠��,特別是當(dāng)來自數(shù)字運(yùn)營(yíng)和品牌聲譽(yù)的收入和利潤(rùn)利害攸關(guān)的時(shí)候�。數(shù)字時(shí)代,幾乎每個(gè)董事會(huì)決策都將影響企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)���。這正是為什么網(wǎng)絡(luò)安全應(yīng)是董事會(huì)議程表上常規(guī)事項(xiàng)的原因���,也是網(wǎng)絡(luò)安全應(yīng)在更廣泛風(fēng)險(xiǎn)框架下不斷重新評(píng)估的原因所在。而最為關(guān)鍵的�,是事件響應(yīng)與溝通計(jì)劃,以及經(jīng)常性演練��。這些措施是企業(yè)有機(jī)會(huì)在遭遇成功網(wǎng)絡(luò)攻擊后快速恢復(fù)的唯一方法。
