趨勢科技和波耐蒙研究所 (Ponemon Institute) 合作,制定出新的網路風險指數 (
Cyber Risk Index- CRI),以協助資訊安全長(CISO)及其 IT 安全團隊,更清楚了解相較於同規模和同產業的其他類似企業,自身目前的網路風險程度。這項 CRI 指數是根據波耐蒙研究所進行的問卷調查,調查對象為美國小型、中型到大型企業中的一千多位 IT 專家,並著眼於兩個面向:各組織保護其資料和系統之能力程度,以及目前針對組織攻擊的各種威脅。我們的計畫是每六個月彙整一次 CRI,以取得趨勢資料,檢查 CRI 是否隨時間改善。
CRI 採用 -10 到 +10 的分數量表,-10 代表風險最高,+10 則代表風險最低。結果顯示整體而言,企業的網路威脅風險升高,分數為 -0.15。我們還根據公司規模細分結果,資料顯示小型企業承受較高風險,分數為 -0.59。
好消息是大型企業公司的表現落在中度風險指數等級。依據產業細分結果時,對於問卷調查回應足夠,得以取得良好統計平均數值的產業,皆顯示出升高的風險等級,而服務業、公部門、零售業、醫療與製藥產業的相關風險最高。
以下根據所有受訪者的調查回應,列出一些值得關注的結果。
網路攻擊很可能發生
接下來的 12 個月中,客戶資料洩漏的可能性:
- 77% 可能性接下來的 12 個月中,關鍵資料 (IP) 洩漏的可能性
- 80% 可能性接下來的 12 個月中,成功發動一次 (含) 以上網路攻擊的可能性
- 80% 可能性
上述結果顯示,我們的受訪者沒有信心能夠成功擋下攻擊,且認為某些最具價值的資料將會洩漏。
關鍵資料面臨風險
遺失或遭竊風險最高的首要四件事為 (依風險高低順序排列):
- 研發資訊
- 商業機密
- 客戶帳戶資料
- 公司機密資訊
好消息是,我們的受訪者清楚知道自身的寶貴資料存在風險,若這四種資料遭竊,將嚴重影響到企業的存續。
組織內部的挑戰
下列是組織內部會增加額外風險的挑戰。受訪者認為其公司在下列領域並不具備足夠的能力。
- IT 安全部門會判斷在工作場所是否可接受採用顛覆性的技術 (例如行動裝置、雲端、社交媒體、物聯網裝置)。
- IT 安全部門能夠偵測到零時差攻擊。
- IT 安全部門已經準備周全,能夠因應資料洩漏與網路安全漏洞。
- IT 安全架構具有高度的互通性、可擴充性和靈活性。
- IT 安全部門會進行評估及/或稽核,來找出威脅、漏洞或攻擊。
審視這些首要風險時,我們會發現,對於組織進行安全控管以偵測和封鎖攻擊者的能力,或是因應導入的新科技及協調性不佳的安全架構時面臨的挑戰,許多人似乎相當缺乏信心。
主要威脅
當我們問到什麼是組織的主要威脅時,前兩種威脅都是針對公司員工:
- 網路釣魚和社交工程
- 點擊劫持
- 勒索病毒
- 殭屍網路
- SQL 與注入惡意程式碼
我們還有許多其他調查結果,日後將在部落格和大家分享,希望能幫助您更清楚了解我們從這項計畫中獲得的深入見解。我們也期待看到下一輪的結果,以了解組織是否認為自身能力已有加強,或在防禦針對組織的威脅攻擊方面是否變得更輕鬆或更困難。以下提供強化威脅抵禦能力的方法,供組織加以運用:
- 找出關鍵資料,並採取風險管理方法
- 為這些資料建立安全機制將基礎架構的複雜度降到最低
- 提升整個安全堆疊的一致性提升能力以保護行動裝置、資訊和營運技術裝置
- 雲端基礎架構投資新進人才
- 現有人力審視現有的安全解決方案
- 採用最新技術來偵測勒索軟體和殭屍網路等進階威脅改善 IT 安全架構,使其具高度的互通性、可擴充性和靈活性
請造訪我們的 CRI 網頁,查看關於網路風險指數的詳細資訊,並親自填寫簡易版的問卷調查,了解您相較於同業的表現如何。