在本世紀之交,最大的網絡安全威脅通常發生在網絡層并且可以很輕松地緩解,因為IT部門對網絡擁有完全的可見性,嚴格控制著對應用和數據的訪問。如今的情況卻大不相同。
隨著基于云的應用的大量涌入以及數字化和自帶設備(BYOD)趨勢的發展,如今的網絡安全攻擊已經牽扯到多個層面。事實上,在波耐蒙研究所一份 2016 年報告《不斷變化的風險環境中的應用安全》中,一半的受訪者認為應用層攻擊變得更加頻繁,60%的受訪者認為它將比網絡層攻擊更嚴重。
如今,網絡威脅已經擴大到新的平臺和渠道,并采用社交工程、勒索軟件和DDoS等更加多樣化的攻擊戰術。《思科 2017 年年度網絡安全報告》指出,超過一半的安全專家認為移動設備、公有云中的數據和云基礎設施是他們在網絡攻擊方面最擔心的問題。
但是,新技術的出現只是推動網絡安全發展的一個方面。如今網絡罪犯的攻擊類型更加具有惡意破壞性,而且他們的攻擊更加頻繁、復雜且修復費用更加高昂。根據咨詢公司Grant Thornton的估計,亞太地區的企業由于網絡攻擊造成的收入損失為813億美元,而歐洲為623億美元,美國為613億美元。
這在亞洲尤為明顯,這里被認為是黑客的主要目標。僅在中國,網絡攻擊已經從2014年的241起激增到2015年的1200起。2016年發生的針對菲律賓選舉委員會的網絡攻擊被視為最大的政府數據泄露事件,數百萬選民的信息在全國選舉前幾個月已被泄露。同時,發生在同一年的印度國家支付公司的安全漏洞造成320萬借記卡被非法使用,但這只是該地區發生的許多類似規模的攻擊之一。
這些事件可能讓人認為網絡安全是所有企業的首要任務,無論是大型企業還是個人創業公司。然而,事實通常并非如此。盡管網絡攻擊會造成重大收入損失,普華永道的一項研究發現近40%的企業根本不打算投資網絡安全 。
曾經擔任索尼影視娛樂信息安全執行董事的Jason Spaltro說過,有效的業務決策就是要接受安全漏洞的風險,并表示他不會投入1000萬美元避免100萬美元的潛在損失。不出幾年,該公司在2014年遭受了重大網絡安全攻擊,造成將近1億美元的收入損失以及更多無形和隱藏的損失。
盡管這種對網絡安全漠不關心的態度在以前尚可,但是如今的網絡罪犯在本質上更加無情和惡毒,他們追求的不只是經濟利益,還企圖摧毀企業數十年樹立的聲譽——這可能會讓一個企業滅亡。現在問題已經不再是網絡安全是否應該成為總體增長戰略的一部分,而是如何投資的問題。
F5公司的亞太區安全架構師金飛先生認為,企業應列出需要保護的事物的優先級。并且安全評估必須成為應用開發框架的一部分,而不是作為事后補充手段。確保應用的安全不僅可保護企業的數據,更重要的是還能夠提升客戶體驗和他們對品牌的信心。
還需要注意的是,網絡安全不只是IT部門的責任,它更是每個人的責任。從財務到高級管理層等不同業務部門之間的持續對話可讓企業更好地識別重大漏洞,了解最終用戶行為,規劃高效且強有力的網絡安全戰略,并獲得在整個企業內部署安全措施所需的支持。最后,網絡安全應融合到企業的各個方面,以確保企業可以留住客戶的信任并保護企業的利潤。
京公網安備 11010502049343號