網絡威脅分析：如何制訂風險評估？

有組織的犯罪集團正在使用越來越複雜的網絡攻擊手法。這些犯罪集團在網上的Freelance Market中招募黑客，以攻破IT系統並制訂特定的網絡攻擊。例如銀行、政府機構和零售商等業務涉及線上交易的企業，都面臨著重大的風險。

亞太區的線上交易數量大幅增加，且沒有下降的跡象。以零售業為例，Forrester Research預測，在中國、印度、日本、韓國和澳洲等亞太區五大市場的電子商務規模已接近美國和西歐線上零售業務的銷售額。預期到2018年，這五大市場的線上零售額將達到8,580億美元，是2013年的兩倍多。與此同時，網絡事故正以倍數上升。

精通技術的犯罪網絡已經崛起，利用黑客工具和共用資料來繞過防火牆。一項對福布斯全球2,000強企業的調查發現，92%的受訪企業在過去12個月內出現過資料外洩，而網絡犯罪黑市中每年為全球帶來大約1,040億美元的損失。

然而受到威脅的並非只有這些大企業，中小型企業也特別容易受到網絡攻擊，原因在於他們通常缺乏資源和專業知識來分析網絡流量從而發現網絡異常活動。在這樣的環境中，從事線上交易的企業需要考慮的便不只是他們是否會成為攻擊對象，而是何時會成為攻擊對象，並制訂相應計劃來進行部署。

網絡罪犯正在不斷進化

任何收集個人資料或財務資訊的線上交易都面臨被入侵的危機。有組織的網絡罪犯不斷尋找更聰明的方式來攻破安全系統，從而盜取資訊。

另外一個讓人不安的趨勢是，企業經常在最需要安全防護的時候（高峰期）放鬆警惕。許多企業為了避免主要系統中斷，選擇暫停對IT安全系統的變更和更新。結果，防護變得更加脆弱，並有可能面臨災難性的後果。

管理威脅

無論規模大小，任何需要收集客戶機密資料的企業都應確保網絡安全是合規格的，以盡可能減少欺詐和網絡犯罪。

企業還需要明白，如果出現錯誤，其聲譽和品牌形象將面臨風險。對於線上交易，客戶希望自己的資料得到良好的保護，而他們對信任的品牌和機構更有特別高的期望。為此，企業更應該積極地保護他們的系統，避免自己的信譽和銷售量受到嚴重影響。

打擊網絡犯罪需要綜合的安全措施，包括主動規劃和風險管理策略，以破解攻擊的整個生命週期。這意味著加強投資，在應用層以及硬件和軟件介面進行預防和即時威脅檢測。在發現攻擊或預測到潛在風險時，企業的應對措施非常重要，需要立即做出反應以制止攻擊。

企業需要確保他們擁有以下防禦手段以抵擋網絡攻擊：

在信任的同時亦要進行驗證 – 確保用戶使用雙重認證或其它有效的認證方法登錄，或進行帳戶身分驗證。

辯識威脅和漏洞 – 掃描網絡應用和網絡預防入侵。這應該包括修補已知的漏洞、更新企業防火牆和防入侵系統，以及定期進行入侵測試以確保漏洞已被修復。

使用網絡應用掃描與監測 – 線上交易的好處是24小時服務，但這也意味著需要全天候的安全監測。持續的安全測試對於流動應用程式或 VoIP 也很重要。

為最壞的情況制訂應對計劃

造成網絡安全事故有各種的原因，企業很難預防所有入侵。但通過綜合的方法，可以降低風險和成本，並有效地控制局勢。

企業應該制訂整個Security Lifecycle的解決方案，從主動規劃和風險管理策略到即時的應對措施。工作重點包括：

1. 清晰的流程和政策計劃，以在安全事件之後收集和分析證據。

2. 遵守制度，以在事故發生後協助司法調查和審計。

3. 高效的備份與恢復，以降低資料丟失或刪除帶來的後果。

對於保護企業和客戶來說，在網絡攻擊事件後，迅速的回應至為重要。如果機密資料被盜，必須盡快通知客戶，讓他們可以通知其信用卡公司對後續調查中是非常重要，這個步驟能保護企業，並針對侵權進行辯護。

降低風險

在當今高度複雜和有組織網絡犯罪的情況下，任何電子商務企業都難以確保安全。企業不能奢望完全消除網絡攻擊的風險，而又不犧牲一些業務運營。

維持網絡安全是要持續地應對不斷變化的技術和新威脅，以及平衡安全措施和運營需求的過程。通過將網絡犯罪看作重大業務威脅並相應地制定計劃，企業可以大幅減少受攻擊範圍、降低風險並預防攻擊帶來的危機。