不重視資安的後果:每次網絡安全事故平均損失近 100 萬美元!
不重視資安的後果:每次網絡安全事故平均損失近 100 萬美元!
網絡安全幾乎已成為 IT 管理人員每天必定提及的事情,然而礙於種種因素,很多時公司都不會投放足夠的資源用以進行相關防禦方案的採購及部署工作,往往到出現了重大安全事故時,才會想起安全防禦工作的重要性。
最近一份由卡巴斯基實驗室與第三方統計機構合作進行的全球性問卷調查便顯示,金融機構遭遇網絡安全事故,每次平均損失接近 100 萬美元($926,000)。
單一機構最高損失 200 萬美元
問卷調查針對金融業界專業人士面對的主要網絡威脅,以及世界各地面對網絡攻擊的經濟損失,當中發現讓金融企業蒙受最高損失的事故,始源於 Point-of-Sale (PoS) 系統的安全漏洞,令單一機構因此事件而損失 2,086,000 美元,針對流動裝置的攻擊排名第二位,導致企業損失 1,641,000 美元,第三位屬於造成 1,305,000 美元損失的針對性攻擊。
63% 機構認為:單純符合規格要求並不足夠
符合監管要求(Compliance),通常是銀行和金融機構增加 IT 保安資源的最大誘因,然而調查發現,63% 企業認為單純符合保安的規格並不足夠。另一個促使企業增加保安預算的原因,是日益複雜的網絡基礎設施環境,例如,中型金融機構採用虛擬桌面基礎設施 (Virtual Desktop Infrastructure. VDI),管理大約 10,000 名終端用戶,而當中大約一半屬於智能電話和平板電腦。其他增加 IT 保安資源的原因,主要是內部專業知識不足、高層管理指令和業務拓展,83% 受訪金融企業預期未來將會增加 IT 保安的預算。
保安策略講求平衡
卡巴斯基實驗室企業業務副總裁 Veniamin Levtsov 認為,鑒於網絡攻擊造成龐大經濟損失,金融機構考慮增加保安支出實不為奇,並且指出成功的金融機構保安策略,應該著重恰當的資源平衡分配,加強防護先進的針對性攻擊,留意員工個人的保安意識,以及掌握針對行業的威脅情報。
卡巴斯基專家五項建議
研究顯示,金融機構面對保安挑戰,傾向採取通過增加威脅情報和進行保安審計的方法,73% 企業認為以上措施有效。然而,金融機構都不太願意採用第三方保安服務,只有 53% 機構認為具有效用,以下是專家對金融機構提出 2017 年的五項保安策略建議:
1. 注意針對性攻擊
對金融機構的針對性攻擊,可能會經過第三方企業或承包商來發動,這些企業通常防護意識較低,能夠透過惡意程式或網絡釣魚作為攻擊的起點。
2. 不要低估較簡單的威脅
騙徒可以使用簡單的工具發動大規模攻擊,憑數量獲取可觀的收入,75% 的騙徒透過社交工程行騙,只有 17% 採用較精密的惡意程式行事。
3. 平衡資源分配
IT 預算通常都會側重於滿足保安規格,但是也要兼顧強化保安和採用新技術的需要,達致合適地平衡分配資源。
4. 定期進行滲透測試
現實的環境往往存在未被發現的保安漏洞,使用精密的偵測工具進行滲透測試,漏洞和事故便有機會浮現,不要放過任何弱點或漏洞以策安全。
5. 留意內部威脅
職員也可能被網絡罪犯利用,有效的保安策略除了周邊的防護,也應該包括偵測內部可疑活動的技術。