首席安全總監：談外洩事故的真正代價及機構執行的措施

首席安全總監：談外洩事故的真正代價及機構執行的措施

早前一份由 Cisco 公佈的 2017 年度網絡安全報告 The Cisco 2017 Annual Cybersecurity Report ，ACR 指出，在 2016 年經歷資料外洩事故的企業中，超過三分之一表示因此遭到大量的客戶流失、錯失業務機會及收益損失，各方面幅度均錄得超過 20%。當中有 90% 的企業透過分隔資訊科技和保安功能（38%）、增加員工保安意識的培訓（38%）和實施風險緩解技術（37%），讓其於網絡攻擊後來改善威脅防禦技術及過程。

今年的 Cisco 年度網絡安全報告中的保安能力基準研究（Security Capabilities Benchmark Study）調查了近 3,000 名來自 13 個國家的首席安全總監（Cisco Security Officers，CSO）及保安營運領袖。

受訪的首席安全總監將預算的限制、強差人意的系統兼容性，以及缺乏專業人才，是推進保安發展的最大障礙。而保安營運高層人員亦表示，65％ 的企業使用 6 至 50 多種不同的保安產品，令保安部門環境日益複雜，增加潛在的安全效率差異。

年度網絡安全報告的數據顯示，犯罪分子為了利用這些差異，令「經典」攻擊媒介復蘇，例如採用廣告軟件和垃圾電郵，後者更自 2010 年以來已不復出現。垃圾電郵佔所有電郵接近三分之二（65%），當中 8% 至 10% 為惡意電郵。全球垃圾電郵數量正不斷上升，通常經由大型和有規模的殭屍網絡（Botnets）傳播。

面對這些網絡攻擊，量度保安實施方式的效率可謂相當重要。「威脅偵測時間（Time to detection，TTD）」是指在威脅進入及被偵測之間所需的時間，更快的檢測時間能有效限制攻擊者的操作空間和減低入侵帶來的破壞。Cisco 已成功將 TTD 從 2016 年初的平均 14 小時降低至同年下半年的 6 小時。這個數字是根據 Cisco 於全球部署而自願提供資訊的保安產品中所收集的遙測數據所得。

網絡威脅的業務代價：失去客戶，損失收入

2017 年度網絡安全報告顯示出網絡攻擊對大型企業以至中小企的潛在財務影響。超過 50% 的企業在發現保安漏洞後接受公眾監察。其中營運和財務系統所受到的影響最為嚴重，其次是品牌聲譽和客戶保留。對於受過網絡攻擊的企業，其影響是不容少覷的：

－22% 的資料外洩企業失去客戶，其中 40% 損失了超過 20% 的客戶群。
－29% 的收入損失，當中 38% 的企業收入損失逾 20%。
－23% 的資料外洩企業失去了商機，其中 42% 的企業損失 20% 以上。

黑客營運和嶄新的「商業」模式

在 2016 年，黑客活動愈趨「企業化」。由數碼化帶動的科技環境動態轉變，為網絡犯罪份子創造機會。在攻擊者繼續利用長時間驗証技術的同時，他們還採用能反映其企業目標的「中層管理」結構方法。

－新的攻擊方法模仿企業架構：某些惡意廣告程式透過經紀人（或「門戶」）作為中層管理人員，掩蓋其惡意活動。威脅可以更快地速度移動、保持其操作空間，並逃避檢測。
－雲端機會和風險：由員工引入的第三方雲端應用程式，旨在開拓新的業務機會並提高效率，但當中有 27% 被歸類為高風險及重大的保安問題。
－數據繼續證明傳統廣告軟件（沒有用戶許可的情況下下載的軟件）是成功的，報告顯示傳統廣告軟件感染了 75% 的被調查企業。
－使用大型開發工具包，如 Angler，Nuclear 和 Neutrino，其擁有者在 2016 年減少，但小型用戶繼續大量湧現。

保障業務　保持警覺

Cisco 2017 年度網絡安全報告指出，僅 56% 的保安警示已受調查，並且少於一半的合法警報已經修復。儘管防禦者對自身的保安工具信心十足，但卻只用作回應複雜的 IT 架構及人手不足上的挑戰，無法真正回應攻擊者入侵，讓他們留有時間的空間有機可乘。Cisco 建議採用以下數項步驟，以防禦、偵測及緩和保安威脅，並減低入侵風險。

－讓保安作為優先的業務項目：企業高層必須對其網絡保安負責並宣揚其重要性，並視優先投資保安方案為首要任務。
－量度營運支柱：企業須審視過去保安實施方式、修補漏洞、以及控制存取點至每個網絡系統、應用、功能及數據。
－測試保安效能：企業須建立清晰的保安方法、藉此驗證及改善保安實施方式。
－採用整合式防禦方法：把整合及自動化為評估清單內最高位置，從而提升可視性、簡化互通性、減低偵測入侵的時間並遏止網絡入侵，讓保安團隊從而專注調查及解決真正的保安威脅。