《思科2017年度網路安全報告》: 資安長揭露資料外洩的實際成本及企業因應辦法

【2017年3月9日,台灣訊】《思科2017年度網路安全報告》(Cisco® 2017 Annual Cybersecurity Report, ACR)指出,2016年遭遇資料外洩的企業中,有超過三分之一表示因此面臨大量客戶、業務機會及收益的流失,總計損失超過20%。其中90%的企業在遭受網路攻擊後,透過區分IT與資安功能(38%)、員工資安意識培訓(38%)並採用降低風險的技術(37%),來改善威脅防禦技術及過程。報告中的資安能力基準研究(Security Capabilities Benchmark Study, SCBS),針對近3,000名來自13個國家的資安長(Chief Security Officers,CSO)及資安營運主管進行調查。

今年為思科年度網路安全報告推出的第10年,這份全球性報告為資安團隊揭示目前面臨的挑戰和機遇,讓資安團隊能抵禦不斷演變的網路犯罪和攻擊模式。受訪的資安長將預算的限制、低落的系統兼容性,以及專業人才的缺乏,視為推行網路安全最大的阻礙。資安營運主管亦表示,65%的企業使用6種至50種不同的資安產品,導致資安部門環境複雜,也增加潛在的資安效率漏洞。

《思科2017年度網路安全報告》數據顯示,網路犯罪者利用潛在漏洞,再次以「經典」的方式和媒介進行網路攻擊,例如廣告軟體和垃圾郵件攻擊,其中垃圾郵件攻擊自2010年起已不曾出現。垃圾郵件佔所有電子郵件的近三分之二(65%),當中更有8%至10%為惡意郵件。全球垃圾郵件數量正不斷上升,且通常透過大型且具規模性的殭屍網路(Botnets)傳播。

有效評估資安實施方式的效率,是抵禦網路攻擊的關鍵。偵測時間(Time to detection, TTD)意指遭受威脅直至威脅被偵測所需的時間,而思科一直持續努力於縮短偵測時間。更快的偵測時間能有效限制攻擊者的操作空間,並將攻擊所帶來的破壞力降至最低。根據思科所收集到,來自於全球資安產品的資訊及遙測數據顯示,從2016年初至年底,思科已成功將偵測時間從平均14小時,降低至平均6小時。

網路威脅的商業代價:失去客戶,損失收入

《思科2017年度網路安全報告》顯示,網路攻擊對大型及中小企業造成潛在財務影響。超過50%的企業在發現自身資安漏洞後接受公開調查,並發現營運和財務系統所受到的影響最為嚴重,其次是品牌聲譽和客戶維繫。網路攻擊對企業的影響是不容小覷的:

  • 22%曾遭遇資料外洩的企業,因此損失原有客戶,其中更有40%的企業損失超過20%的客群
  • 29%的企業因而減少收益,其中有38%損失超過20% 的收益
  • 23%曾遭遇資料外洩的企業,因此失去商業機會,其中更有42%的企業損失超過20%的商業機會

駭客營運和嶄新的「商業」模式

在2016年,駭客活動逐漸趨向「企業化」。隨著數位化發展,不僅帶動科技環境劇烈轉變,也為網路犯罪者創造機會。攻擊者持續利用時間驗證(time-tested)技術,同時也採用「中階管理」架構方式,反映企業目標。

  • 以新的攻擊方式模仿企業架構:某些惡意廣告程式透過經紀人或門戶(gates)作為中階管理人員,掩蓋其惡意活動。這讓攻擊者能提升攻擊速度、保持操作空間,並規避偵測
  • 雲端機會和風險:由員工引進的第三方雲端應用程式,開拓新的商業機會並提高效率,但卻有27%具高風險或重大資安問題
  • 數據證明,未經用戶許可而下載軟體的傳統廣告軟體是成功的攻擊工具,報告顯示,被調查的企業中, 有75%遭到傳統廣告軟體感染
  • 大型開發工具套件(如Angler、Nuclear和Neutrino)的使用者在2016年減少,但小型用戶大量湧現

保障業務 保持警覺

《思科2017年度網路安全報告》指出,僅56%的資安警示完成調查,更僅有一半以下的合法警報獲得修復。儘管防禦者對自身的資安工具信心十足,但這些工具卻只能應付複雜IT架構及人力不足的問題,無法真正回應攻擊者的入侵,讓攻擊者享有時間及空間的優勢。思科建議採用以下步驟,達到防禦、偵測、減少威脅,並降低風險的目的:

  • 以資安為優先業務項目:企業高層必須對網路安全負責,公開宣告網路安全的重要性,並將其視為投資的首要目標
  • 營運部門評估:企業須審視過去資安實施方式、漏洞修補,並將存取點控制至每個網路系統、應用、功能及數據
  • 測試資安效能:企業需建立清楚的安全執行方法,藉此驗證並改善資安實施方式
  • 採用整合式防禦:將整合及自動化列為評估的首要條件,進而提升可視性、簡化協調性、縮短偵測時間,並遏止網路入侵,讓資安團隊能專注調查並解決真正的資安威脅

思科年度網路安全報告:10年來的數據發展及展望

思科年度網路安全報告自2007年推出以來,網路安全經歷巨大的轉變。科技的日新月異,一方面提升網路攻擊的嚴重性,另一方面也加強資安領域的專業能力,讓網路安全成為重要的發展基礎。

  • 2007年,思科年度網路安全報告指出,網站及企業應用是網路攻擊的目標,通常透過社群工程(social engineering)或用戶介紹(user-introduced)的方式入侵。而在今年,駭客已具備攻擊雲端應用的能力,且垃圾郵件的數量亦相繼提升。
  • 10年前為惡意程式攻擊興起的階段,惡意程式攻擊遂成為犯罪組織的獲利途徑。隨著現今影子經濟發展,攻擊者將網路犯罪視為一門生意,並提供低門檻的攻擊產品及方案給潛在的用戶。因此,如今每個人都能成為網路攻擊者,並且能夠在任何地方發起攻擊,不需要了解網路安全技術,即可隨時買入現成的入侵套件進行攻擊。
  • 《思科2007年度網路安全報告》針對4,773件來自思科智慧防護安全警報(Cisco IntelliShield Security Alerts)的資料,並對照美國國家弱點資料庫(National Vulnerability Database) 所檢視的漏洞警報。根據《思科2017年度網路安全報告》,廠商揭示的安全漏洞警報為6,380件,較10年前增加33%。思科相信此增幅是由於企業對資安投入更大的關注、攻擊層面的擴展,以及企業主動對抗攻擊。
  • 2007年,思科建議防禦者要全面實施網路安全,整合工具、流程及政策,並教育利益關係人保護工作環境,以避免駭客入侵。企業向資安供應商尋求全面性的解決方案,但往往徒勞無功,因為廠商僅針對單點提供零散的資安方案。直至2017年,企業資安長仍糾結於複雜的IT環境。思科致力解決此類資安問題,透過架構式方法部署網路安全,協助客戶在目前既有的投資下,獲得更多的資安效益,增加資安能力,並減低部署及管理安全上的複雜性。

支援引述

思科全球資深副總裁暨資訊安全長John N. Stewart表示:「在2017年,網路就是業務,業務亦等於網路,而管理業務需要各部門的討論,亦會產生截然迴異的結果。企業需要持續改善網路安全,並應該透過效能、成本及妥善風險管理來評估成果。我希望《思科2017 年度網路安全報告》能充分回應企業在財務預算、人力資源、創新及架構上的挑戰。」

思科全球副總裁暨資安業務總經理David Ulevitch表示:「在《思科2017 年度網路安全報告》中,其中一項重要指標是「偵測時間」,意指企業需要花費多少時間來偵測並減少惡意程式的活動。我們將偵測時間降至6小時。而另一項新指標「演進時間(Time to evolve)」,則意味著攻擊者如何迅速改變攻擊方式,以掩藏攻擊身份。藉由此調查研究,我們將攜手企業,提供自動化並整合威脅防禦,更有效協助企業減低財政及營運上的風險,促進業務發展。」

關於年度網路安全報告

思科年度網路安全報告推出至今已有10年,報告檢視思科資安專家蒐集的最新威脅情資,並揭示資安產業和網路安全罪犯的最新發展。《思科2017年度網路安全報告》亦涵蓋第三年度的思科資安能力基準研究,揭露企業資安專業人才對於內部資安狀態的觀點。該研究分享來自各地不同的資安趨勢、全球數據的在地發展,以及網路安全的重要性。

如需取得《思科2017年度網路安全報告》完整內容,並瞭解更多有關思科如何降低企業風險的建議,請前往此處

補充資料