【PChome企业中心资讯报道】在本世纪之交,最大的网络安全威胁通常发生在网络层并且可以很轻松地缓解,因为 IT 部门对网络拥有完全的可见性,严格控制着对应用和数据的访问。如今的情况却大不相同。
随着基于云的应用的大量涌入以及数字化和自带设备 (BYOD) 趋势的发展,如今的网络安全攻击已经牵扯到多个层面。事实上,在波耐蒙研究所一份 2016 年报告《不断变化的风险环境中的应用安全》中,一半的受访者 (50%) 认为应用层攻击变得更加频繁,甚至更多的受访者 (60%) 认为它将比网络层攻击更严重。
如今,网络威胁已经扩大到新的平台和渠道,并采用社交工程、勒索软件和 DDoS 等更加多样化的攻击战术。《思科 2017 年年度网络安全报告》指出,超过一半的安全专家认为移动设备 (58%)、公有云中的数据 (57%) 和云基础设施 (57%) 是他们在网络攻击方面最担心的问题。
所有目光都聚焦在 APAC 上
但是,新技术的出现只是推动网络安全发展的一个方面。如今网络罪犯的攻击类型更加具有恶意破坏性,而且他们的攻击更加频繁、复杂且修复费用更加高昂。根据总部位于伦敦的咨询公司 Grant Thornton 的估计,亚太地区的企业由于网络攻击造成的收入损失为 813 亿美元,而欧洲为 623 亿美元,美国为 613 亿美元。
这在亚洲尤为明显,这里被认为是黑客的主要目标。仅在中国,网络攻击已经从 2014 年的 241 起激增到 2015 年的 1,200 起。2016 年发生的针对菲律宾选举委员会的网络攻击被视为最大的政府数据泄露事件,数百万选民的信息在全国选举前几个月已被泄露。同时,发生在同一年的印度国家支付公司的安全漏洞造成 320 万借记卡被非法使用,但这只是该地区发生的许多类似规模的攻击之一。
鉴于这些毁灭性的事件,您可能认为网络安全是所有企业的首要任务,无论是大型企业还是个人创业公司。然而,事实通常并非如此。尽管网络攻击会造成重大收入损失,PwC 的一项研究发现近 40% 的企业根本不打算投资网络安全。
损失的不只是收入
让我们回到 2007 年,索尼影视娱乐当时的信息安全执行董事 Jason Spaltro 说过一句很有名的话“有效的业务决策就是要接受安全漏洞的风险”,并表示他“不会投入 1,000 万美元避免 100 万美元的潜在损失”。不出几年,该公司在 2014 年遭受了重大网络安全攻击,黑客盗取并泄露了预发行的电影、个人私人信息和敏感文档。总损失是多少?造成将近 1 亿美元的收入损失以及更多无形和隐藏的损失。这包括客户流失、难以获取新客户和遭投资者抛弃。
尽管这种对网络安全漠不关心的态度在以前尚可,但是如今的网络罪犯在本质上更加无情和恶毒,他们追求的不只是经济利益,还企图摧毁企业数十年树立的声誉 — 这可能会让一个企业灭亡。现在问题已经不再是网络安全是否应该成为总体增长战略的一部分;而是如何投资的问题。
来自应用交付领导企业F5公司的亚太区安全架构师金飞先生建议:首先,企业应列出需要保护的事物的优先级。例如,在一个以应用为中心的环境中,您应该确定您网络中的所有应用(无论是由 IT 部门部署的应用还是由不耐烦的员工安装的影子应用)并保护那些您认为最容易受到攻击的应用。
第二,安全评估必须成为您应用开发框架的一部分,而不是作为事后补充手段。确保应用的安全不仅可保护您的数据,而且更重要的是还能够提升您的客户体验和他们对您品牌的信心。
还需要注意的是,网络安全不只是 IT 部门的责任,它更是每个人的责任。从财务到高级管理层等不同业务部门之间的持续对话可让您更好地识别重大漏洞,了解最终用户行为,规划高效且强有力的网络安全战略,并获得在整个企业内部署安全措施所需的支持。最后,网络安全应融合到企业的各个方面,以确保您可以留住客户的信任并保护您的利润。