6 分钟 2019年12月3日
computer hacker using laptop and smartphone

如何击败针对中型市场企业的网络攻击者

作者
Ryan Burke

Global EY Private Leader

Global leader helping companies grow and profit in this transformative age. Passionate about eradicating child illiteracy and raising neurodiversity awareness. Father of two.

Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

6 分钟 2019年12月3日

中型市场企业可能认为他市场们不会成为网络犯罪的目标,但实际上它们是首当其冲的攻击对象。


据2019年10月安永 《全球资本信心晴雨表》(EN) ,中型市场企业最担忧的网络安全问题是声誉受损,其次是运营中断。

鉴于网络攻击使全球许多大品牌遭受损失,这一结果并不意外。同样,中型市场企业(收入在5,000万美元至30亿美元之间的企业)应关注攻击可能造成的声誉损失。

考虑到潜在财务影响的规模,他们担心运营中断也是正常的。中型市场企业应该更关心攻击所带来的不同影响,因为与大型企业相比,它们更容易受到攻击,并且防御能力通常不足。网络犯罪复杂多变的性质,使得资源匮乏的中型市场企业几乎无法跟上最新威胁的变化。

许多攻击者利用中型市场企业作为特洛伊木马,对大型企业进行攻击。瞄准大型企业相对比较困难,因为这些企业通常都设有专门的网络安全团队和系统,因此,通过其供应商对其进行攻击是一种更简单的方法。例如,攻击者可能试图在供应商的应用程序中植入恶意代码,然后通过他们的业务关系将其植入大型企业。

尽管这种性质的网络安全事故会给大型企业带来更多负面宣传,但中型企业却会因此遭受声誉和财务损失,因为其供应的企业可能会取消合同并将其列入黑名单。这可能不会公开,但是企业将遭受惨痛的经济损失。在最坏的情况下,这种业务中断可能导致中型企业倒闭。

另外一个问题是,网络防御不足导致一些公司丧失竞争优势。安永《全球资本信心晴雨表》询问了中型市场企业,当他们将数据用作竞争优势时的最大障碍:27%的受访者认为是面临网络威胁,仅次于监管加剧(28%)。这些企业对其网络安全缺乏信心,所以他们也害怕将其通过客户分析和定向广告等渠道获取的数据变现。

网络安全漏洞

我们访谈的每个中型企业都知道网络安全是一个问题。但是威胁的规模以及防御所需的时间和资源都是他们面临的主要挑战。许多企业没有资金或人力资本来应对相关技术不断变化的形势。

整个行业范围内网络安全人才的短缺加剧了这种情况,从而导致中型市场企业对其所需的安全和控制了解不足。与系统实施、开发和维护相比,网络安全方面的人才更加稀缺。

因此,由于具有适当技能的人员匮乏,公司无法以合理的价格获得定制化建议,甚至无法应对问题。同时,可用数据缺乏,导致中型企业无法建立适当的控制水平。

中型市场企业在设计业务和不断创新时,应全面考虑公司的网络安全要求。

区域差异问题

安永《全球资本信心晴雨表》调查结果显示出不同企业的区域差异。例如,与其他国家相比,中国的中型市场企业更担心与网络安全相关的监管处罚威胁。考虑到严格的中国网络安全法于2017年生效,这一结果并不意外。

我们看到的另一个区域问题是,大多数可用的网络安全预算和人才都在美国。在其他市场(包括南美和中美洲、中东、非洲和亚太地区),这些资源比较有限。考虑到世界上大多数人口居住在这些地区,这造成了严重的失衡。

此外,许多美国和欧洲的中型市场企业都使用新兴市场的外包技术或支持,但这些市场的网络安全人才或能力有限。实际上,现在市场上许多可负担的技术创新都来自这些国家。

因此,攻击者相对容易地将自己掩藏或隐藏在新兴市场小型企业中,然后等待中型市场企业来采购其服务。这样,中型市场企业会突然发现自己已经成为特洛伊木马攻击的受害者。

与我们合作的中型市场企业已经了解这种情况,知道这已成为一个严重问题。但是他们通常不知道如何应对,也没有制定适合其业务的安全计划。在大多数情况下,企业都是在网络安全事故发生后,才会制定并实施强大的网络计划。

为中型市场企业提供服务的小型公司,其网络安全性可能更低。因此,中型市场企业必须确保在购买任何软件或服务之前,以及收购较小型公司之前进行相应的检查。

中型企业通常会采用具创新性的方式运作,这往往意味着他们依赖外部聘用的资源,但对于他们整合到自家系统的程序代码,他们并不一定时常检查其代码质素。此外,有不少企业会假设,购买网络连接系统、IT服务和云应用程序时,相关的网络安全软件都已经会随附安装,但实际上并非如此。供应商或会提供这些服务,但是中型企业必须在进行系统或数据整合之前,预先进行检查。实际上,他们不能假设其任何合作伙伴,无论是否提供核心技术的供货商,都拥有适当水平的网络安全系统。

由于存在这些隐患,中型市场企业实在不能忽视来自网络攻击者的威胁。假设您的公司为大型企业提供服务,例如更新智能电表中的硬件等,您可能认为自己不会成为网络犯罪的主要目标,但其实您的公司正是首当其冲的攻击对象。因此,您不能从企业规模或行业的角度去评估风险,而是要思考:“我的企业会对其他企业构成什么风险?”

假设您的公司为大型企业提供服务,例如更新智能电表中的硬件等,您可能认为自己不会成为网络犯罪的主要目标,但其实您的公司正是首当其冲的攻击对象。

着手设计网络安全机制

鉴于当前和潜在威胁的规模,中型市场企业显然需要在这一领域进行更多投资。但这不仅是投入多少的问题,因為投资水平和成功的网络安全部署之间并不一定存在关联。做好充分准备的企业,應當是将網絡安全性視为企業任何範疇工作的一部分。换句话说,他们不会為網絡安全制訂专用预算,而是从一开始就在每个新产品、采购和业务服务中着手设计網絡安全機制,並以此赢得竞争优势。如此一來,他们的網絡安全機制就会更加有效率,并且在長遠而言,其相關支出會逐步减少。

为达到这一目标,他们需要得到适当的建议。中型市场企业通常缺乏大型企业所拥有的网络安全资源。因此,我们不建议他们主攻网络安全,而是通过寻求拥有良好网络安全水平、能够助他们实施相关控制措施、定期进行评估的企业,建立合作关系。在大多数情况下,企业目前都可以为许多网络安全相关服务采取外包或合包安排。

企业毋须过份担忧

企业不能忽视网络安全相关问题,否则这些问题的破坏程度,可能会使企业不知所措。企业应当切实学习及了解相关知识、并向专门人员查询,胜于在企业发生网络安全事故、或在新增监管要求行动时才寻求指引。另外,企业应当于软件开发和应用程序安全性测试方面作出投资,并要对系统进行额外入侵测试,从而查找安全漏洞。企业也需要将核心网络安全服务,外包(或合包)给具有相关技能和设备的可信赖服务提供商,以保护企业安全。

根据我们与中型市场企业合作的经验,这些企业对于网络安全问题通常采取被动应对的态度、而不是积极主动管理——在受到攻击之前,他们往往没有认真对待网络安全问题。但是,如果他们能尽快解决这些问题,从长远来看,这将大大减少他们在这方面的支出。

结语

中型市场企业普遍将声誉受损和运营中断视为网络攻击的两个最大威胁。考虑到网络攻击近年对许多企业带来巨大的声誉和运营损失,他们的担忧也是正常。

虽然中型企业比大型企业更容易受到网络攻击,但它们却普遍准备不足。

中型企业不应忽视网络威胁,而应该找到可以协助他们建立和整合适当控制措施的可靠合作伙伴。他们应当持续学习及了解相关知识,并针对多变的网络风险向专业人员作出查询。

关于本文

作者
Ryan Burke

Global EY Private Leader

Global leader helping companies grow and profit in this transformative age. Passionate about eradicating child illiteracy and raising neurodiversity awareness. Father of two.

Kris Lovejoy

EY Global Consulting Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.