四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。
今日網路安全環境最大的威脅和第一要務為何?
美國企業已逐漸感受到資料外洩的影響。不論他們是否曾為駭客入侵的受害者,或是在電視上看到其他同業受害,網路犯罪在今日的影響力似乎不容小覷。
然而,PwC 與 CSO Magazine 所做的 2014 年美國網路犯罪現況調查 (2014 U.S. State of Cybercrime Survey) 發現,隨著各領域的資料外洩事件數量持續攀升,企業所採取的資訊防護策略卻各不相同。
Continuity Central 引述該報告指出:「儘管網路犯罪事件的數量與相關的財務損失持續升高,大多數的美國企業在網路安全防護上依舊比不上網路駭客的毅力與技巧」。
網路犯罪概觀
該調查發現了多項驚人數據,描繪出今日網路犯罪駭人的一面: 四家企業當中就有三家過去 12 個月內曾經發生資訊安全事件。一家典型的企業在過去一年平均遭遇 135 次資安事件,造成大約 415,000 美元的金錢損失。
該調查發現,14% 的受訪者表示過去一年曾因攻擊和入侵而發生財務損失。但是,經過研究人員估計,這些事件的成本可能遠高於此,因為曾經遭遇資安事件的企業有 67% 並無法估算相關的費用。
當前的網路犯罪環境已提高了企業的安全意識,知道自己需要一種防護措施來保障敏感資訊及企業資源。在過去一年曾經成為網路犯罪受害者的 77% 企業當中,有 34% 表示這類事件在過去幾個月來更加普遍。整體而言,現在已有超過半數的企業 (59%) 比以往更擔心網路威脅。
當前網路犯罪環境的最大威脅
研究人員發現,在今日的環境當中有幾種是企業幾乎每天都要面的威脅,因此若未能加以適當處置及防護,就可能導致資料外洩。
其中一項威脅就是,企業的支出和花費並未花在網路安全策略上。企業應該強化其企業目標與財務資源分配之間的關聯,以防止這類風險影響其目標的達成。
另一個可能造成安全漏洞的問題是,企業合作對象經常會「從掃瞄雷達下低空飛過」(套句 PwC、CSO Magazine 及 CIO Magazine 的說法)。網路犯罪者經常會利用協力廠商來滲透相關企業。更糟的是,許多企業並未將協力廠商的安全列入其防護策略當中。前述調查發現,目前只有不到一半 (44%) 的企業已設置一些技術和政策在合作之前先對協力廠商進行調查。此外,僅有 31% 將安全條款納入合約當中。
儘管如此,影響企業安全最大的風險之一是許多企業集團並未評估其當前的周遭環境來發掘可能影響其企業安全的風險。整體而言,僅有 47% 的企業會定期執行風險評估,而會委託第三方服務來從外部評估其安全政策的企業就更少,僅有 24%。
網路安全第一要務
為了應付更多的安全問題,企業領導人必須更聚焦於某些領域,例如行動防護。隨著越來越多員工在工作上使用自己的個人行動裝置,這些端點裝置已成為越來越吸引駭客的攻擊目標,因此它們必須受到妥善防護。但是,卻僅有 31% 的受訪者目前已有行動防護策略。此外,不到半數的企業會將員工的行動裝置加密,而且僅有三分之一強的企業採用了行動裝置管理技術。
除此之外,決策者還必須更重視內部員工可疑行為的偵測,並且強化員工訓練。
該調查指出:「內部員工造成的網路安全事件將招致嚴重後果,但卻並未像外部駭客威脅那樣受到嚴格重視。員工所造成的漏洞早已時有所聞,但企業並未給予員工網路安全習慣的訓練。」
藉由強化上述領域的工作,並且更加重視安全的提升,企業領導者就能消除網路安全上的憂慮,並且做好更充分的準備來對抗今日的威脅。
◎原文來源:What are the top threats and priorities in the current cybersecurity environment?
萬物聯網時代,企業必要掌握的資安四大面向
萬物聯網資訊安全中心 多層次的資訊安全中心控管
萬物聯網駭客攻防手法 深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構 私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制 企業行動裝置安全策略
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】