一份專供資安長(CISO) 參考的網路資安風險指標

趨勢科技調查了北美、歐洲、亞太,以及拉丁/南美地區的最新網路資安風險指標 (CRI) 來協助資安領導人更有效了解、溝通及解決其企業的網路資安風險。

2021 年,趨勢科技共執行了兩次網路資安風險指標 (Cyber Risk Index,簡稱 CRI) 調查 (上半年與下半年各一次),藉此觀察企業對其網路資安風險的看法是否有所改變。兩次的調查範圍都涵蓋了北美、歐洲、亞太、拉丁/南美等四大地區以真正反映出全球企業當前的網路資安風險狀況。

CRI 是趨勢科技與 Ponemon Institute 合作執行的一項調查。2021 下半年,我們調查了上述四個地區共 3,400 多家各種產業不同大小的企業。CRI 是依據以下兩項條件來評量企業的網路資安風險:

  1. 企業因應網路攻擊的準備程度 (網路資安準備度指標 – CPI)
  2. 企業所受威脅的當前狀況 (網路資安威脅指標 – CTI)

從這兩項指標再計算出一家企業的整體網路資安風險指標 (CRI) 值:-10 至 +10,數字越低,代表風險越高。CRI 值的計算公式如下:CRI = CPI – CTI。

CRI ratings

全球與區域性 CRI

根據這份調查,全球當前的網路資安風險指標為 -0.04,雖然仍舊偏高,但較 2021 上半年 (-0.42) 已稍微改善。 

北美、歐洲與亞太地區的網路資安風險在 2021 下半年都有所改善,唯獨拉丁/南美地區的風險反而較上半年惡化。為何如此?我們發現整體而言其實是好壞參半,有兩個地區的 CPI 值 (準備度) 變差,但另外兩個地區變好。 

至於 CTI 值 (資安威脅),有三個地區變好,另一個地區稍微變差。不過整體而言,三個地區的準備度都變好,因此整體的 CRI 值稍微提升。拉丁/南美地區的 CPI (準備度) 相對於 CTI (資安威脅) 來說下降更多,因此 CRI 值才會下降,代表風險變高。

如果仔細查看每一個地區,北美的 CRI 值僅僅稍低於零 (-0.01)。其 CPI 明顯提升,從 4.07 進步到 5.35 (CPI 值越高,代表風險越低),不過 CTI 值稍微有點惡化,從 5.34 變成 5.36 (CTI 值越高,代表風險越高)。

歐洲的整體 CRI 從 -0.22 改善至 -0.15。令人意外的是,歐洲的 CPI 變差,但其 CTI 卻有所改善,所以整體 CRI 還是變好。 

亞太地區的網路資安風險從「風險偏高」下降至「輕度風險」(+0.20),相較於上半年,改善幅度相當大 (從 -0.24 提升至 +0.20)。其下半年的 CPI 值顯示出風險下降 (從 5.20 提高至 5.35),同樣地 CTI 也有所改善 (從 5.44 下降至 5.15)。 

拉丁/南美地區的 CRI在下半年變差 (從 +0.06 變成 -0.20),主要原因是 CPI 的下降幅度 (5.45 降至 4.94) 高於 CTI (從 5.39 降至 5.14) 的下降幅度。 

綜合以上數據,2021下半年拉丁/南美地區的企業對於網路資安威脅的防備能力最差,無法有效攔截或回應網路資安威脅。不過四個地區所面臨的威脅程度 (CTI 值) 大致相同,所以拉丁/南美地區才會變成 CRI 最低的地區。亞太地區的 CRI 值已經由負轉正,代表他們在面對威脅時比其他地區的更有所準備。

2021 下半年 CRI 詳細數據

CRI bar chart

讓我們進一步詳細看看這份數據,並點出各地區最令人擔心的問題。

1.企業基礎架構面臨的五大資安風險


隨著全球 新冠肺炎(COVID-19) 疫情持續延燒,以及各種勒索病毒攻擊與資料外洩事件層出不窮,許多企業似乎比以往更關心自己的資安準備度。以下是企業基礎架構面臨的五大資安風險:

  1. 行動/遠距上班員工
  2. 雲端運算基礎架構與供應商
  3. 第三方應用程式
  4. 不肖內賊
  5. 行動裝置 (如智慧型手機)

全球疫情肆虐,讓許多原本在辦公室上班的員工,變成了在家上班,企業必須快速思考該如何保護這些員工。正如上面所列的,這些員工是受訪者最擔憂的頭號問題,而且這樣的情況可能還會持續下去。同樣地,企業也擔心有越來越多員工使用行動裝置從遠端工作。 

除此之外,在疫情期間,我們也看到企業正加速建置雲端,這也難怪雲端基礎架構會成為企業擔心的主要問題之一。在家上班和雲端建置同樣都意味著企業將更仰賴第三方應用程式,而這也是受訪者認為的一項威脅來源。最後,惡意的內賊原本就是企業擔心的重要問題,而且是企業最難防的領域。

2.對移轉至雲端支援快速開發流程缺乏準備

在所有關於準備度的 31 道問題當中,全球受訪者覺得自己的準備度最低的是「我所屬機構的 IT 資安功能可支援 DevOps 環境的資安」。隨著越來越多企業機構開始移轉至雲端來支援快速開發流程,如何保護雲端環境已成為企業的一項實際問題。

3. 企業並未做好防範新攻擊的準備

當被問到過去 12 個月與未來一年的攻擊,受訪者顯然對 2022 年並不樂觀。全球有 84% 的受訪者表示過去 12 個月內曾遭遇 1 次 (含) 以上的攻擊,有 35% 曾遭遇 7 次 (含) 以上的攻擊。另有 76% 表示他們在未來 12 個月「也許可能」至「非常可能」遭到攻擊。即使這數字已經較上半年下降了 10%,但似乎仍意味著企業機構知道自己並未做好防範新攻擊的準備。 

全球主要威脅

CRI 的設計是為了協助企業了解自己有哪些資安風險最高,並找出自己的資安準備度有哪些地方可以改善。雖然我們無法改變駭客未來的行動,但我們可以利用 CRI 來幫助我們了解駭客是否越來越積極。2021 上半年至下半年,全球面臨的最主要威脅有:

  1. 勒索病毒
  2. 網路釣魚與社交工程詐騙
  3. 阻斷服務攻擊 (DoS)
  4. 殭屍網路 (Botnet)
  5. 中間人 (MitM) 攻擊

不論過去或未來,勒索病毒是人人都擔心的問題,因此被視為頭號威脅並不意外。絕大多數的攻擊都會使用網路釣魚和社交工程技巧來突破企業防線以進入企業網路。一個值得注意的威脅是 DoS,因為我們已經看到勒索病毒服務 (Ransomware-as-a-service) 集團開始在多重勒索攻擊當中加入這項技巧。至於中間人攻擊受到更多關注的原因有可能是受訪者覺得供應鏈攻擊變多所致 (因為它也算是一種中間人攻擊) 。

個企業最迫切需要改善的領域


好消息是,從 2021 下半年的 CRI 看來,企業已經開始了解他們必須改善自己的網路資安風險。在這方面,企業可以從人員、流程及技術 (PPT) 來著手。由於 CRI 看的是整體,因此整體 CRI 的改善有可能是任何一個項目或所有項目綜合的結果。 

根據調查結果,以下是幾個最迫切需要改善的領域:

  1. 我所屬機構的 IT 資安功能可支援 DevOps 環境的資安。
  2. 我所屬機構的 IT 資安領導人 (CISO) 已獲得充分的授權與資源以改善資安狀況。
  3. 我所屬機構的 IT 資安功能會採取強制作為來處理不符合資安政策、標準操作程序以及外部規範的情況。
  4. 我所屬機構的 IT 資安功能可掌握營運關鍵資料資產與應用程式所在的實際位置。
  5. 我所屬機構的 IT 資安領導人必須向管理高層 (如 CEO、COO 或 CIO) 報告。
  6. 我所屬的機構會適當投資一些尖端的資安技術,如:機器學習、自動化、協調平台、數據分析、人工智慧工具等等。
  7. 我所屬的機構會投入相當的資源來評估第三方的資安風險 (包括雲端和整體供應鏈)。

要解決上述問題,資安長 (CISO) 與資安領導人應尋找一套全方位的網路資安平台,而非採購各種零散的單一面向產品來部署在企業各處。如我們所說,遠距上班員工擴大了企業的受攻擊面 (因為裝置變多),再加上威脅會持續不斷演變,意味著企業需要掌握全方位的可視性來更有效了解、溝通及防範威脅。這樣的可視性無法從零散的產品當中獲得,而是需要一套能夠交叉關聯深度威脅資料並涵蓋整個數位受攻擊面的網路資安平台。

您可考慮採用一套具備持續性威脅監控、風險分析、延伸式偵測及回應 (XDR),並支援零信任 (Zero Trust) 這類資安最佳實務方法的平台。此外,與各種第三方服務整合 (如:防火牆、SIEM、SOAR 等等) 也同樣重要。這些功能和特色全都能協助資安團隊降低複雜性,讓他們專心調查最重要的威脅,進而降低企業的網路資安風險,幫助企業創新。

下一步


CRI 是一項持續性的指標,我們每年都會定期更新以適時反映全球對網路攻擊的準備度與抵抗能力。

請參閱以下網頁來獲得更多資訊和資源,也可以試試我們的 CRI 評估工具來衡量您企業的 CRI 值,並與全球的情況做對照: www.trendmicro.com/cyberrisk

原文出處:Cyber Risk Index (2H’ 2021): An Assessment for Security Leaders 作者:Jon Clay