The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

重獲網路安全:隨時準備應對網路攻擊

安永第20屆全球資訊安全調查報告

遭遇網路威脅

如今,所有企業均視數位化為預設配置。並不是每個企業都主要透過數位化管道來提供產品和服務,但都是以網路時代的文化、科技和流程營運的。而且,在物聯網(IoT)所創造的聯網世界中,數字世界非常大,企業擁有或使用的每個數位資產都代表了網路中的另一個節點。

目前世界經濟論壇將大規模網路安全性漏洞列為當今世界面臨的五大風險之一,這不足為奇。威脅的規模正在急速擴大:預估到2021年,全球網路安全性漏洞的成本將高達6 兆美元,是2015 年總成本的兩倍。1

企業從未像現在這樣更加難以描繪他們所營運的或與之存在交互關係的數位化環境。每個企業的科技基礎設施都是訂制且複雜的,跨越由私有雲或公有雲服務中的工具和技術組成的多個網路。

互相連通的設備增加了複雜性。物聯網不是被動設備的集合,而是不間斷互聯設備組成的網路,這些網路與傳統獨立且更易管理的系統的融合即帶來最根本的改變。

提高威脅級別需要更強而有力的響應,今年GISS 顯示許多企業繼續增加網路安全支出。百分之八十七的受訪企業表示,他們需要增加高達50%的預算,但是,只有12%的受訪者預計增加超過25%。

對於許多企業來說,可能必須要等發生最壞的情況,這些要求才能得以滿足。當被問及什麼樣的事件會導致網路安全預算增加時,76%的受訪企業表示,發現了對企業帶來破壞性的漏洞時可能會使其增加資源配置。

相比之下,64%的受訪企業表示,表面上沒有造成任何破壞的攻擊不太可能促使企業增加其網路安全預算。這一比例比去年報告的比例要高,主要是基於一個事實,由網路安全攻擊造成的損害往往不能馬上顯現出來。

最終,未投入足夠網路安全資源的企業將發現很難管理他們面臨的風險。我們的調查顯示,企業越來越意識到這一點:56%的受訪企業表示,他們不是已經改變其策略和計畫,將網路威脅所帶來的風險納入考慮,就是即將審查這方面的策略。

1「網路犯罪報告(2017 年版)」(Cybercrime Report 2017 Edition),Cybersecurity Ventures,2017 年10 月19 日。

安永第20屆全球資訊安全調查報告

理解網路威脅

企業尋求提升網路安全能力的第一步應更深入了解威脅的性質。情境察覺是相當重要的 — 威脅是什麼? 對您和您的企業意味著什麼?

企業可能對於對抗近年來已經熟悉的攻擊類型感到更有信心,但仍然缺乏應對更進階、更有針對性攻擊的能力。他們可能甚至不瞭解新出現的攻擊方法。然而,為了做好網路防護,企業必須迅速提升對多種網路攻擊類型的理解,因為他們很可能會同時面對所有類型的攻擊。

所有企業都必須做好最壞的打算。

由於有這麼多不同的威脅,而且攻擊者可能是無良雇主乃至恐怖組織或國家中的任何一方,因此董事會必須保持警惕,熟悉企業面臨的威脅類型。更何況,網路攻擊者能夠輕易線上獲得惡意軟體和複雜工具,甚至線上雇用網路罪犯。

員工和犯罪集團被視為企業面臨的最直接威脅。對於一些企業而言,員工粗心和不遵守網路安全指引是最明顯的弱點。

企業對於新管道和工具中的漏洞愈來愈擔憂。例如,77%的受訪企業擔心用戶意識薄弱和行為不當會使其面臨行動設備風險,50%的受訪企業擔心行動設備丟失,造成潛在的資訊外洩及身份洩露問題。

2013 至2017 年,被受訪者視為導致風險加劇的主要威脅和漏洞

安永 - 被受訪者視為導致風險加劇的主要威脅和漏洞

反擊網路威脅

企業很可能會接連不斷地遭受不同複雜程度的攻擊,他們可以且必須予以反擊。反擊過程中必須多面兼顧:

抵禦常見攻擊的方法

Gartner 公司研究副總裁Greg Young 表示:「到2020 年,99%的漏洞仍將是那些早已被安全與IT 專業人士知道一年以上了的漏洞。」

對於此類威脅,獨立的單點解決方案是提高網路安全防護的關鍵元素,相關工具包括防毒軟體、入侵偵測與入侵保護系統(IDS 和IPS)、持續修補管理,以及當攻擊者在獲取資料後仍能保護資料完整性的加密技術。

提高員工安全意識同樣也是一項關鍵防禦措施,可以此構建整個企業的網路安全意識與密碼管理制度。本次調查的受訪企業指出,對於大多數企業來說,員工的疏忽行為是網路安全的重要弱點,解決這些弱點相當重要。

要有效防禦常見網路威脅,企業需確保具備相關基礎。

防禦進階攻擊

如果企業決心完全防禦住常見網路攻擊,他們還必須接受會在未來遭遇更進階網路攻擊這一現實。當發生這種入侵時,企業必須要做到能夠迅速識別,並利用現有流程協助有效處理網路入侵後的相關情況,將攻擊者踢出系統。

資安監控維運中心(Security Operations Center, SOC)是決定企業網路威脅檢測能力的核心,企業可以此為起點,為網路安全活動建構集中化、結構化、協調化的中心。如今SOC 已日趨普遍,但仍有48%的受訪企業表示他們未設有這樣的中心。

網路安全工作逐漸從被動防禦轉向主動防禦,這是一項有計畫並持續執行的防禦活動,旨在識別並清除隱藏的攻擊者,並擊敗以公司最關鍵資產為目標的可能威脅局面。在企業對抗進階攻擊者的過程中,主動防禦是極為關鍵的一步,該策略至少分為以下四個階段:

  1. 優先保護寶貴資產:任何一家企業都具有極其寶貴的特定資產,包括人才。
  2. 確定正常運行方式:由於主動防禦要依賴異常分析等工具,因此企業必須瞭解其網路的正常運行方式。網路安全分析工具借助機器學習對「正常」進行定義,憑藉人工智慧,更加快速、準確地識別潛在的惡意活動。
  3. 進階威脅情報系統:企業透過與威脅情報供應商的緊密合作並開發內部分析能力,可建構更加清晰的網路威脅情勢 - 包括高階主管身份驗證。
  4. 主動防禦任務:透過規劃並執行防禦任務,主動打擊特定威脅場景並找出藏匿於網路中的入侵者。

曾遭到過網路攻擊的企業當中,近三分之一企業表示相關問題已由企業SOC 解決。

防禦新型攻擊

事實上,企業無法預測所有的新型威脅。但能夠預計未來潛在威脅特性的創新型企業可預先提升其網路安全的靈活性,以便在攻擊發生時能迅速做出應對。

本次調查顯示具有以下特點的企業,其網路安全預算高於其他企業:

  • 關鍵業務線中設置專門的業務線安全人員。
  • 每年至少兩次就網路安全事宜向董事會和審計委員會彙報。
  • 明確識別出非IT 寶貴資產,並對此類資產實施特別保護。

為提高企業反擊網路攻擊者的成功率,企業需要改變網路安全營運較難帶來附加價值因而不願擴大投入的觀念。例如,59%的受訪企業表示目前預算吃緊,而58%的受訪企業表示缺少技術資源,29%的受訪企業抱怨缺少高層的重視或支持。

 

實現網路安全防護的必備要素

安永 - 實現網路安全防護的必備要素

緊急服務:應對網路攻擊

企業在營運時必須意識到,遲早有一天會有網路攻擊成功突破防線。而網路漏洞應變計畫(Cyber Breach Response Plan, CBRP)將為企業提供將網路攻擊影響降低到最小程度的最佳機會,該計畫將在漏洞被識別時自動啟動。CBRP 框架將涵蓋:

  • 網路安全:企業將如何確保自己能夠抵禦網路攻擊,隔離已遭受的破壞並進行評估,以及加強防禦系統,以避免未來發生類似的侵害。
  • 法令遵循:企業有義務向有關的主管機關(如必要的話,包括執法部門)報告違規行為,以及該如何解除這些違規行為?
  • 公共關係和溝通:企業如何與潛在利害關係人(包括員工、客戶、供應商和投資者)進行明確且有效的溝通,不管是以直接的方式還是透過對該破壞行為有共同利益的媒體?
  • 業務連續性計畫:企業如何在修復攻擊的同時確保繼續正常營運?
  • 保險:企業是否購買了網路保險以及該網路攻擊事件是否在保險理賠範圍內? 在這種情況下,哪些方面可申請理賠?
  • 訴訟:企業如何評估網路攻擊可能會使其面臨哪種訴訟, 甚至其是否對法律訴訟本身具有追索權? 企業如何記錄和保留有利的法律證據供執法機關使用?

本調查顯示了企業對建立CBRP 的不同準備程度。許多企業還未明確其法律責任,17%的受訪者表示,即使他們發現這些漏洞對客戶資訊造成了影響,也不會通知所有客戶。10%的受訪者表示他們甚至不會通知受到影響的客戶。隨著歐盟 《個人資料保護規則》的效力逐漸顯現,此種情況將被認為是不正當的。

整體而言,69%的受訪者具備一定正式的事件應對能力,只有8%的受訪者表示他們具備健全的、涵蓋第三方供應商和法律執行的計畫。

結論

理解網路威脅 — 發現即將面臨的潛在風險是建立良好網路安全的基礎,使企業能夠縮短其在正常網路狀態以外花費的時間並了解開始遭受網路安全壓力的時間及原因,從而預先壓制全面危機的爆發。

反擊 — 以防止企業免受網路風險作為基礎,由工具和流程構成的防禦框架,提供給企業更有效地應對壓力和危機的技能和信心。

應對攻擊的能力 — 在漏洞實際發生時迅速有效應對是關鍵的一步。企業如果能夠冷靜應對,通過周密且經測試的網路威脅漏洞回應計畫使每個人瞭解自身的職責,則將更加迅速地降低危機發生的可能性。

將網路安全的各環節整合在一起,企業即使在面對不同且更加複雜網路攻擊的情況下,也將具備更大的復原能力。

應對威脅的工具和科技已經開發出來,許多企業已為充分利用這些工具和科技制定創新政策和流程。這一最佳實踐必須成為所有企業遵循的標準。

聯絡我們

安永 - 涂嘉玲
涂嘉玲
審計服務部 營運長
+886 2 2757 8888 ext. 88810
安永 - 劉惠雯
劉惠雯
稅務服務部 營運長
+886 2 2757 8888 ext. 88858
安永 - 何淑芬
何淑芬
總經理暨執業會計師
安永財務諮詢服務股份有限公司
+886 2 2757 8888 ext. 88898
安永 - 黃昶勳
黃昶勳
總經理
安永企業管理諮詢服務股份有限公司
+886 2 2757 8888 ext. 88862

調查方法

安永第20 屆《全球資訊安全調查報告》訪問了近1,200 名高層管理人員、資訊安全與IT 主管/經理,代表了眾多全球規模最大且最知名的企業。 此調查於2017 年6 月到9 月之間進行。

保持聯繫

請通過網路媒體,電子郵件通知或網路廣播,與我們保持聯繫。