賽門鐵克調查發現,全球關鍵基礎架構供應商較少意識到並參與政府計畫

全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)今日公布2011年關鍵基礎架構防護(CIP)調查(2011 Critical Infrastructure Protection (CIP) Survey);調查發現,若以CIP參與指數衡量,全球的意識與參與率逐漸下滑。與2010年相較之下,今年受訪的公司在政府防護計畫的CIP參與指數上僅達82%,較去年下滑18個百分點。關鍵基礎架構的供應商皆來自於重要性極高的產業,若這些產業的網際網路成功被駭客入侵、遭到關閉,可能會對國家安全造成實際的威脅。

加入推特:今年僅37%公司參與政府CIP計畫,而去年則為56%:http://bit.ly/swxJ0B

台灣賽門鐵克資深技術顧問張士龍表示:「鑒於近來如Nitro與Duqu等針對關鍵基礎架構供應商所發動的攻擊,此調查的發現的確敲響了警鐘。而受訪者所提及的人力與資源限制,解釋了為何基礎架構供應商必須優先將其重心放在日常的網路安全威脅上。然而,我們認為,針對關鍵基礎架構供應商的攻擊,將持續以Stuxnet、Nitro及Duqu的形式出現。全球企業與政府應當非常主動積極促進與協調關鍵產業的網路防護,而近期所看見的攻擊很可能只是針對關鍵基礎架構攻擊的開端。」

調查發現重點:

  • 政府CIP 計畫的低認知與低參與度:今年企業普遍較少意識到政府的CIP計畫。36%的受訪者有些或完全意識到國內所探討的政府關鍵基礎架構計畫,而去年則高達55%。於2011年,僅37 %的企業完全或相當程度的參與該計畫,但去年的比例卻高達56%。
  • 對於政府CIP 計畫更猶豫不決:本調查亦透露出,2011年企業對於政府CIP計畫的態度,相較於2010年更加猶豫不決。例如:向受訪者詢問他們對於政府CIP計畫有何意見時,42 %的受訪者表示無意見或保持中立。此外,相較於去年的57%,今年有66%的企業較不願意配合CIP 計畫。
  • 全球性組織覺得其準備不足:一點都不令人意外的是,組織對於安全威脅的評量下滑連帶地整備性跟著鬆散。全球整體整備性平均下滑8個百分點(自2010年的68%至70%下滑至2011年的60%至63%)。

確保關鍵基礎架構遭受網路攻擊後的恢復力之建議:

  • 制訂與執行IT 政策,以及自動化法規遵循程序。企業組織可擬定風險的優先順序,定義適用於各據點的政策,透過內建的自動化與工作流程執行政策,因此不僅可識別安全威脅,還可在事件發生之前即早矯正,或事先預測到可能發生的事件。
  • 透過採取資訊為中心的方法保護資訊與互動行為,以積極主動保護資訊。採取內容感知(Content-Aware)方法保護資訊,將可知道誰擁有資訊、敏感性資訊位於何處、誰具有資訊的存取權,以及資訊如何傳送或從您的企業組織寄出。
  • 透過部署安全作業環境、發送與執行修補程式等級、自動化程序以精簡效率,以及監控與回報系統狀態,以有效管理系統。
  • 保護端點、傳訊及Web環境,進而保護基礎架構。此外,最優先的工作應為定義出內部關鍵的伺服器,以及部屬具備備份與恢復資料的能力。企業組織亦需具備能見度與安全性情報,才可迅速因應威脅。
  • 確保全年無休的可用性。企業組織應執行不中斷營運的測試方法,藉由自動化容錯移轉程序,以降低複雜度。虛擬環境的處理方式應等同於實體環境,因而顯示出企業組織必須採取橫跨更多平台與環境的工具,或在較少的平台上標準化。
  • 發展包括資訊保存計畫與政策的資訊管理策略。企業組織必須停止以備份的方式進行歸檔與法定保留資訊的動作,並於各處實行重複資料刪除的政策,以釋放資源、使用功能完整的歸檔系統,以及部署防止資料外洩等技術。

對於政府促進關鍵基礎架構防護的建議:

  • 政府應持續釋出資源,建立政府機關的關鍵基礎架構計畫。

o        大多數的關鍵基礎架構供應商證實其察覺到政府機關的關鍵基礎架構計畫。
o        而且,大多數的關鍵基礎架構供應商支持政府制定防護計畫的工作。

  • 政府應與產業協會與企業團體協力合作,宣傳讓大眾更認識政府CIP組織與計畫的資訊,具體說明面臨全國網路攻擊時,應變措施如何生效、政府應扮演的角色、在地方與全國層級的各種不同產業中,哪個單位為指定溝通對象,以及政府與民營企業如何在發生緊急情況時分享資訊。
  • 政府應強調在面臨現今的網路攻擊時,安全性已不足以維持優異的恢復能力。政府亦應向關鍵基礎架構供應商與企業強調,必須儲存、備份、組織及排定其內部資訊的優先順序,並備妥合宜的身分識別與存取管制程序。

賽門鐵克關鍵基礎架構防護調查
賽門鐵克關鍵基礎架構防護調查係由Applied Research於2011年8月與9月所做的研究結果,其中探訪14種關鍵基礎架構產業內中小企業與大型企業的高階主管及IT 專業人員。報告旨在檢驗對於政府CIP計畫的認識程度、參與感,以及整備程度。此份調查涵蓋北美、歐洲、中東、非洲、亞太地區及拉丁美洲37個國家內3,475間企業組織。

關於CIP 參與指數
CIP 參與指數彙整不同類型的問題,用以評量企業對於政府CIP計畫的參與感。此指數以2010年作為此調查之基準年。依慣例,2010 CIP參與指數為100%。

資源
2011年關鍵基礎架構防護(CIP)調查(PDF)
圖片資料:關鍵基礎架構防護Infographic: Critical Infrastructure Protection
SlideShare簡報:賽門鐵克2011年關鍵基礎架構防護調查全球結果
Nitro 攻擊事件:盜走化學產業的秘密
o        前往推特:http://bit.ly/vUWfL3

賽門鐵克相關連結
賽門鐵克在Twitter
加入賽門鐵克Facebook
訂閱賽門鐵克新聞RSS
觀看賽門鐵克SlideShare
賽門鐵克商業社群連結站

關於賽門鐵克
賽門鐵克公司是全球領先的安全、儲存與系統管理解決方案供應商,協助消費者與企業組織保護與管理他們由資訊所駕馭的世界。賽門鐵克的軟體及服務對於愈趨多樣化的風險提供了更多元、更全面及更有效率的防護,讓用戶對不論是在使用中或是被儲存的資訊皆能具有信心。若需瞭解更多相關資訊,歡迎瀏覽賽門鐵克公司網頁: http://www.symantec.com