全球近四分之一企業機構去年曾經遭遇至少 7 次以上的網路攻擊

趨勢科技「網路資安風險指標」報告,透過全球資料指出攻擊的風險正在升高

根據全球雲端資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 最新「網路資安風險指標」(Cyber Risk Index,簡稱 CRI) 研究調查報告指出,全球有23% 的企業機構去年曾經有 7 次以上網路攻擊滲透了企業網路或系統。絕大多數的受訪機構 (83%) 認為,這類攻擊在未來 12 個月內「有可能」甚至「非常可能」成功。此風險指標為由 Ponemon Institute 負責評量企業目前的資安情況與遭遇攻擊的可能性大小。

趨勢科技全球威脅通訊總監 Jon Clay 表示:「CRI 正快速成為資安長 (CISO) 自我評估網路攻擊準備度不可或缺的一項指標。今年的調查包含美洲、歐洲與亞太地區的資料真實反映全球的狀況並有助於各地企業尋找更有效的方法來消除複雜性、防範內賊威脅、彌補人才缺口、提升雲端資安,盡可能降低網路資安風險,成功面對後疫情時代的來臨。」

CRI 是一項從 -10 到 10 的數字指標,「-10」代表風險最高。目前全球指標數值為:-0.41,代表風險「偏高」。而全球風險最高的地區是美國 (-1.07),相較於其他地區,美國受訪者感受到的網路攻擊準備度較為缺乏。

六大企業網路資安風險


受訪企業認為,全球最大的網路資安威脅風險為:

  • 網路釣魚與社交工程詐騙
  • 點閱挾持
  • 勒索病毒
  • 無檔案式攻擊
  • 殭屍網路 (Botnet)
  • 中間人 (MitM) 攻擊

全球企業機構最擔心的資安問題為:

  • 客戶資料外洩
  • 智慧財產與財務資訊遭竊
  • 客戶流失
  • 設備失竊或受損

Ponemon Institute 執行長 Larry Ponemon 博士表示:「趨勢科技的 CRI 是一項對企業相當有用的工具,可讓企業更了解自己的網路資安風險。2020 年,隨著該指標擴大到全球範圍,其資訊也讓更多企業受惠。全球企業不論規模大小、也不論何種產業都能利用 CRI 來提升自己的防護策略,並且在未來一年當中做好更充分的資安準備。」

當然,不同國家之間也存在著一些獨特差異,例如美國受訪者將外部顧問成本列為遭到攻擊之後的最大負面衝擊,但亞太地區擔心的則是關鍵基礎架構受損。

至於 IT 基礎架構內部的全球最大資安風險為:

  • 組織架構無法配合與複雜性
  • 內部人員疏失
  • 雲端運算基礎架構與供應商
  • 專業人員不足
  • 不肖內賊

根據完整報告內容指出,網路資安風險會隨著時間改變,此外,報告也點出了全球企業目前面臨的最大資安挑戰,以及如何降低資安風險的一些技巧。

 

認識 2020 年「全球」網路資安風險指標 (Cyber Risk Index)

作者:Jon Clay

很高興跟大家分享我們三年前成立的趨勢科技 網路資安風險指標 (Cyber Risk Index,簡稱 CRI) 今年已邁入新紀元。今年,這我們將歐洲與亞太地區也納入研究調查範圍,讓該指標真正反映出全球企業所面臨的網路資安風險。

若您還不知道 CRI,這是趨勢科技與 Ponemon Institute 共同成立的一項研究調查,調查對象涵蓋所有規模的企業。CRI 會根據以下兩項標準來衡量企業的風險等級:

  1. 網路資安準備度指標:代表企業對於針對他們的網路攻擊所做的準備如何。
  2. 網路資安威脅指標:代表目前針對他們的網路威脅現況。

根據這兩項指標,再計算出企業整體的網路資安風險等級 (從 -10 到 +10),負值代表風險較高。

全球網路資安風險指標 (CRI):相對於歐洲與亞太地區,美國的風險最高


目前全球的 CRI 值約在 -0.41,算是風險略高。

就三大主要地區來看,相對於歐洲與亞太地區,美國的風險最高。但若進一步探究原因,則可發現美國風險等級最高的原因是因為該地區的網路資安準備度最低。令人訝異的是,三大地區的網路資安威脅指標大致相同。

這意味著,美國企業因準備度最為不足,所以無法有效遏止或回應網路資安威脅,但因為三大地區的威脅程度大致相同 (就網路資安威脅指標來看),所以才使得美國的整體風險最高。

Cyber Risk Index

CRI 協助企業了解自己的最高風險所在,並找出他們可從哪些方面提升準備度。


讓我們詳細研究一下這些結果並找出各地區最令人擔憂的問題。

  1. 隨著全球爆發新冠狀病毒(COVID-19,俗稱武漢肺炎) 疫情,許多企業機構都覺得他們的資安準備度可能是個嚴重問題。其中最令受訪者擔心的四大領域是:

        A. 組織架構配合度不佳與複雜性

        B. 內部人員疏失

        C. 雲端運算基礎架構與供應商

        D. 合格人員不足

我們看到許多企業今年都因為疫情而加速邁向雲端運算,雖然這有助於企業在當前局勢下維持營運,但卻可能因為必須學習新的技術和技能而帶來重大衝擊。從前述的 A、B、D 三項問題就能看出這項挑戰。

2.     受訪者表示他們的準備度不足,無法應付和控制絕大多數的網路攻擊,對零時差攻擊更是毫無偵測能力。這是導致風險指數升高的主要因素之一。

3.     當問到過去 12 個月與未來 12 個月的攻擊,答案對 2021 年來說並不樂觀。在全球,有 76% 的受訪者曾經遭遇過 1 次 (或更多次) 歹徒得逞的攻擊;有 23% 在過去 12 個月曾經遭遇 7 次或更多次歹徒得逞的攻擊。除此之外,83% 的受訪者表示,未來 12 個月內有可能或非常可能發生 1 次歹徒得逞的攻擊。這又再次顯示企業對新式攻擊的防範並未做好準備。

CRI 是專為協助企業了解自己的最高風險所在,並找出他們可從哪些方面提升準備度。我們無法改變駭客未來能做些什麼,但網路資安威脅指標卻能協助我們了解駭客是否更具侵略性。

例如,根據我們目前在美國所做過的 3 次 CRI 調查,這三年來的網路資安威脅指標大致上差不多:5.22 (2018 年)、5.5 (2019 年)、5.22 (2020 年)。所以,如果要讓 CRI 由負轉正 (也就是降低風險),那麼最需改善的地方就是網路資安準備度。

六個最需改善的資安準備度


根據這樣的結果,以下是幾項最需改善的資安準備度 (以便降低那些最高風險):

  1. 確保 IT 資安領導人 (CISO) 擁有足夠的權力和資源可改善企業的資安情況。
  2. 提升企業掌握其關鍵資料資產與應用程式實際位置的能力。
  3. 努力提升資安基礎架構與企業組織架構的配合度並降低其複雜度。
  4. 訓練及教育員工了解網路資安並確保他們將資安視為工作的必要一環。
  5. 導入雲端運算基礎架構,並與供應商共同維護雲端安全。此外,針對負責建置這項新技術的員工,給予適當的教育訓練,讓他們有能力做好雲端安全。
  6. 提升對新威脅的偵測及回應能力,部署一套更環環相扣的威脅防禦基礎架構以減少資安解決方案數量,提供可視性來徹底掌握攻擊的完整生命週期。

CRI 是一項持續性指標,我們每年都會更新一次來顯示企業面對網路攻擊時的準備度與防範能力。我很期待看到未來全球受訪者對於資安情勢的看法將如何轉變。

目前,讓我們先好好了解一下今年的 CRI,您可利用下面網頁來比較您公司的 CRI 與當前情勢的對照:www.trendmicro.com/cyberrisk

原文出處:The 2020 Cyber Risk Index Goes Global 作者:Jon Clay