网络犯罪,未雨绸缪:安永2014年全球信息安全调查
目录
前言 1
网络威胁格局 2
网络犯罪,未雨绸缪 – 聚焦3A 6
启动 8
调整 14
预见 20
一家企业,三个故事 29 结论 30
调查方法 34
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 1欢迎阅读 《网络犯罪,未雨绸缪 – 安永2014年全球信息安全调查》今年,1,,825家企业参与了安永第17届全球信息安全调查(GISS ),此次调查主要围绕当今企业网络威胁管理的现状以及网络犯罪防范措施等内容展开。调查结果显示,“预见网络攻击是超前防范网络犯罪分子的唯一方式”这也是今天我们所要传达给全球企业的信息。媒体经常报道网络威胁持续性、复杂性和组织化程度不断加剧,网络攻击对企业造成的影响也越发严重。正如在2013年全球信息安全调查报告中所述,即使您的企业从未遭遇过网络攻击,也不应忽视其可能将成为攻击对象的可能,也许在不知不觉中您企业的安全已遭到了侵犯。在2014年调查中,我们发现企业在构建网络安全基础方面已经取得了不容忽视的进展,但大多数受访者仍表示其网络安全基础的成熟度仅达到“中等”水平,尚有许多工作要做。另外,调查还显示,越来越多的企业应对网络安全的方法不再局限于基础性工作。这些企业正在设法调整其网络安全措施(例如:合并、收购、引进新产品,进入新市场、实施新软件等),以适应其战略、业务以及外部环境的变化。而且我们还认识到,企业只有转变思维方式,化被动应对为主动防范,方能赢得致胜之机。
基于此,我们编制了本年度的调查报告,继续推进网络安全进程:
?启动
该部分我们将主要探讨网络安全基础的相关内容,包括2014年的状况如何?
哪些因素需要给予更多关注?
?调整
接下来,我们将围绕企业内外部环境的各种变化展开讨论。包括企业需要采
取哪些举措对网络安全措施进行调整来适应纷繁的变化? 在网络威胁发生变
化和企业整合更先进技术时,企业如何更好地进行自我防御?
?预见
报告最后一部分将探讨领先企业如何整装待发——对风险和威胁评估抱有信
心并对未来发生的事件做好充分准备。换言之,本部分将讨论如何预见并超
前防范网络犯罪。
在这个过程中,企业将从易受攻击的受害者转变为强大的防御者。最终,企业
将首次实现全面防御,真正的为防范攻击做好准备。
我们对调查的每一位参与者表示感谢。感谢他们在百忙中抽出宝贵时间与我们
分享其宝贵经验。同时,我们也欢迎您对本报告提出反馈意见。
每个企业都面临着网络攻击的威胁,我们希望能够与大家一起就这一主题持续
进行探讨,共同应对。
Paul van Kessel
安永全球风险服务主管
Ken Allan
安永全球网络安全服务
主管合伙人 前言Paul van Kessel 安永全球风险服务主管paul.van.kessel@https://www.360docs.net/doc/233195649.html, Ken Allan
安永全球网络安全服务主管合伙人
kallan@https://www.360docs.net/doc/233195649.html,
2 | 网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查
2012年全球信息安全调查
- 应对变化,缩小差距
https://www.360docs.net/doc/233195649.html,/giss20122013年全球信息安全调查
- 网络攻击下的防御https://www.360docs.net/doc/233195649.html,/giss2013逐渐消失的边界
网络威胁将继续增多。数字世界的出现以及人、设备和企业之间的内在互联互
通为网络漏洞提供了全新的平台。在2012年(应对变化,缩小差距)和2013
年(网络攻击下的防御)全球信息安全调查中,我们就这一趋势作了探讨。
下述摘要主要阐述了阻碍高效的网络安全得以实现的五大因素,这些因素表明
企业的安全防御面临着日益加剧的压力,在这些因素进一步侵蚀传统边界的同
时也加速了威胁的蔓延。这些因素包括:
网络风险格局
目前,风险更多是来自外部攻击者,而非内部威胁。
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 3
您认为谁或什么最有可能成为攻击者?
员工
57%在现场工作的外部承包商
35%客户
10%供应商
12%其他企业合作伙伴
14%犯罪集团
53%国家资助攻击者
27%激进黑客
46%独狼式黑客41%网络犯罪分子的攻击力度日益增加
犯罪分子的攻击力正在以惊人的速度增加。攻击者可以轻易访问重大投融资活
动;他们较以往任何时候都更具耐心,也更老练;他们在包括人员和流程在内
的整个运行环境中寻找漏洞。
在我们之前的调查中,员工被认为最有可能成为攻击者。而今年的调查显示,
员工虽然仍被视为一大风险,但我们首次发现,当不同类型的外部攻击者聚集
在一起时(犯罪集团、国家资助攻击者、激进黑客和独狼式黑客),这些威胁
被认为更有可能成为风险来源。几乎所有受访企业都面临着上述评价中的一个或多个外部攻击者。
当今企业面临的障碍
接下来,我们将着眼于企业为应对这些挑战而采取的措施,但首先,我们应考虑需要清除哪些障碍才能超前防范网络犯罪分子。
障碍1 — 缺乏敏捷性
除了日益增加的威胁外,调查还显示,受访者的网络防御仍存在已知漏洞。换
言之,对于目前明确存在的危险,企业为缓解它们而采取的行动尚不够迅速,
仅有37%的受访者表示他们对网络风险进行实时监控,还有27%的受访者表示
只是“偶尔”监控。由此可以看出,企业在构建基础网络安全方面仍十分滞
后。调查显示需要给予重点关注的领域,欲了解更多内容,请参见“启动”
部分。
最新 消息!网络威胁格局
43%的受访者表示其所在企业2014年信息安全预算总额将与未来12个月基本持平,另有5%的受访者表示他们的预算将有所下降。53%的企业表示缺乏技术人员是其应对信息安全挑战中面临的主要障碍
之一。
2014财年2015财年4 | 网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查
落后的信息安全控制或架构
员工粗心或缺乏安全意识
有关云计算使用的漏洞
有关移动计算使用的漏洞
使用社交媒体
未授权访问破坏或损害企业的网络攻击
窃取财务信息 (信用卡号码、银行信息等)的网络攻击
窃取知识产权或数据的网络攻击商业间谍(例如:来自竞争对手)
欺诈内部攻击(例如:来自怀有不满情绪的员工)恶意软件(例如:病毒、蠕虫和特洛伊木马)自然灾害(风暴、洪水等)网络钓鱼垃圾邮件Oday 攻击 优先级别 第一 第二 第三
第四 第五16%20%19%
20%25%13%18%
19%20%30%17%22%
21%22%18%15%14%
16%21%34%15%19%
24%25%17%11%20%
23%18%28%19%
23%22%21%15%16%24%20%18%22%20%24%22%17%17%28%23%18%19%12%25%20%21%16%18%14%20%23%24%19%
7%25%24%20%24%16%25%22%20%17%17%22%18%18%25%38%19%16%14%13%35%17%15%16%17%障碍2 — 预算不足
正如我们之前所见,预算不足是最具挑战的障碍之一。在前几年,由于我们看
到网络安全预算每年都在增长,因此我们对网络安全可用预算与必要预算金额
之间的差异感到相对乐观。但现在,我们首次看到越来越多的企业表示其预算
将保持不变。虽然董事会和全球非执行董事对网络犯罪的关注超过以往任何时候,但他们的
关注似乎并没有转换成额外的资金投入。然而,为有效应对不断增加的威胁我
们还需要更多的资金和资源。网络威胁格局
在过去12个月中,哪些威胁和漏洞对增大贵公司风险敞口的影响最大?
漏洞 威胁(漏洞是指可能存在的被攻击或损害的弱点)
(威胁是指外部环境中的行动者采取的恶意行为)
5%
仅有5%的企业设立了网络威胁情报信息团队,并有专职的分析师和外部顾问对信息的可靠性、相关性和风险进行评估,用以防范网络威胁实施者。
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 5
结合目前我们所探讨的内容(汇
总在下图中),可以看到由于网络威胁格局快速扩张,网络犯罪
分子的力量正在日益增强,企业
却仍在疲于应对多个障碍,网络
犯罪的预防依然任重而道远。障碍3 — 缺乏网络安全技能
网络安全技能的缺乏是最重要的障碍之一。尽管对专业人士的需求越来越强
烈,但每年的调查结果都显示专业技能人才缺乏是一个常态化的问题且愈演愈
烈。另外,还需要培养非技术领域相关技能,将网络安全纳入核心业务。
成熟的企业不仅会做好自身防御工作,使其免遭网络攻击,还会使用智能分析
预见他们可能面临的风险,这些企业对其运行环境抱有足够的信心并已做好充
分的准备(欲了解更多信息,请参见“预见”部分)。然而,调查显示企业很
难聘用到所需的专业人才以对威胁数据进行智能分析,得出准确且可付诸行动
的结论并为决策和制定措施提供依据。操作技术所面临的威胁日益严重
工业控制系统(如:发电机、运输系统、飞行控制系统和配气系统)变
得愈发重要,同时其安全防护亦越来越富有挑战性。新技术、监管压力
和不断变化的业务需求要求我们进一步加强网络安全。然而,鉴于复杂
的工控环境、遗留系统、不同的供应商架构以及操作技术与IT 团队之间的
文化差异,工业控制安全保障并非一项容易实现的工作。
鉴于通过IP 地址访问这些系统相对容易,工业控制系统常常成为网络犯罪
分子的攻击目标,因此企业应将其纳入提高网络成熟度的措施中。以下
是我们总结出工业控制系统遭受攻击的部分例子:
? 运行铁路网络的流程控制系统遭受蠕虫病毒侵袭,导致铁路轨道使用不
稳定
? 进入银行设备管理系统并操控大厦的内部空调系统,导致服务器因温度
太高而宕机
? 恶意软件破坏某核电厂控制系统或某石油天然气公司上游装置流程控制
系统
网络威胁格局
启动 调整 预见6 | 网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查
在下面几章中,我们将探讨网络安全成熟
度进程的三个阶段,启动、调整和预见
(3A ),这三个阶段需严格按照顺序执
行(且不断重复),最终实现先进的网络
安全保障功能。
我们发现企业对网络犯罪的应对措施分为
三个不同的阶段,目的旨在每一阶段都可
以实施有史以来最先进的网络安全措施。启动企业需要建立牢固的网络安全基础。这包括采取全面的信息安全措施,提供基本(并非完善)的网络安全防御。在这个阶段,企业需构建网络安全基础,即 “启动”网络安全。
基础
补强型网络安全
专注于保护当前环境
静态方法
我所处
的位置
在下面方框中打勾并识别出贵公司的哪些特征达到 启动阶段的要求事件管理
□ 从未发生事件□ 第三方公开发布信息或通知贵公司
□ 不确定责任人
□ 未指定专人公开披露信息
□ 未制定事件响应计划领导层讨论□ 未列入董事会会议议题
□ 领导层会谈注重工具与政策
□ 安全领导团队中未包含业务主管
指标□ 人数
□ 成熟度模型
□ 预算
□ 合规
网络犯罪,未雨绸缪
调整预见
无论是为了生存还是业绩增长,企业都需要做出改变。同样,威胁也在改变。因此必须对信息安全措施的基础进行调整,以适应不断变化的业务需求和企业发展变化,否则这些措施将会随着时间的推移逐渐失去效力。在这个阶段,企业致力于不断更新其网络安全措施,适应不断变化的业务需求。企业需要制定战术以发现并降低网络攻击的潜在威胁。企业必须清楚地了解其所需保护的对象(其核心业务),并对可能发生的攻击/事件情境(包括事故)进行适当的响应演练。这要求企业具有成熟的网络威胁智能分析架构、稳健的风险评估方法、成熟的事件响应机制和可拓展的组织架构。在这个阶段,企业应对其处理可预见威胁和意外攻击的能力抱有更大信心,也就是说他们能够“预见”网络攻击。
发展变化前瞻
嵌入网络安全构建前瞻性网络安全专注于不断变化的环境 专注于未来环境
动态方法前瞻方法
在下面方框中打勾并识别出贵公司的哪些特征达到调整阶段的要求在下面方框中打勾并识别出贵公司所具备的哪些特点达到预见阶段的要求
□ 企业确定并应对自身事件
□ 参与事件响应计划通知
□ 事件响应团队包括IT主管
□ 建立公共关系
□ 承认网络入侵将发生或已经发生的事实□ 企业按照威胁情境为即将到来的入侵做好准备□ 企业高级主管参与事件响应团队
□ 控制外部沟通,根据实际情况做好防御准备
□ 灾难恢复计划
□ 监管格局与影响
□ IT主管和业务主管讨论网络入侵的事实及影响□ 列入董事会议事日程
□ IT主管与业务主管讨论网络安全如何提升企业业绩□ 在主管层面与同行展开协作
□ 攻击/事件
□ 入侵对收入的影响
□ 先进的风险分析与评分机制□ 网络安全为收入提供支持/增长/保护□ 与企业目标一致
聚焦3A
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 7
构建基础
每一企业都需要构建牢固的网
络安全基础。构建这一基础并
非易事,其具体需求取决于其
所在行业和地域。
构建基础是网络安全进程中的
首要工作。这并不是一个全新
的概念,早在2012年安永全
球信息安全调查报告(应对变
化,缩小差距)中,我们就对
实际工作中采取的网络安全措
施与必要的基本措施之间的差
距进行了探讨。
8
网络安全的提升是一个长期且持续的过程。通常情况下,已启动网络安全基础工作但尚未进入到下一阶段的企业将在能力方面表现出以下三处不足:
1. 补强型网络安全
企业的网络安全勉强纳入到业务流程和活动中。由于网络安全尚未被看作一项增值活动,而仍被视为一个成本因素,企业会尽量限制其成本投入,导致其尚未被融入到业务之中。如果应用程序开发只是为了开发后或在主要关口提请审批而获得安全认证,那么企业则会就此止步,停留在补强型网络安全的层面。
2.专注于保护当前环境
企业仅根据以往经验发现的风险入手开展网络安全的基础建设,目标是确保漏洞的解决措施合理到位。如果关注点仅围绕风险评估、控制效率和风险缓释展开,该企业将仍停留在启动层面。
3.静态方法
处于该层次的网络安全能力目的是使企业可以安全地执行其已知的和日常职能。企业更多的以遵循相关规章制度和监管要求为目标,依赖于指标型报告,仅能应对一成不变的环境下的网络威胁。启动
启动调整预见
9
启动 | 调整| 预见
无论在网络安全开发方面多么先进,Array所有企业都必须达到网络安全的基本
要求。然而根据今年的调查结果,我
们发现太多的企业甚至连最基本的网
络安全要求都未达到。
在本报告中,我们主要探讨五个重点
领域。根据今年的调查结果以及安永
与全球客户合作的经验,这些领域有
可能发生最严重的问题:
?高管参与
?资源
?绩效
?访问数据
?成本与价值
10 | 网络犯罪,未雨绸缪| 安永2014年全球信息安全调查
启动 | 调整| 预见
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 11
启动 | 调整
| 预见
所有企业应“启动”基础工作
尚未达到网络安全基本要求的企业应迅速采取行动。这些企业急需考虑
以下最常被疏忽但却十分重要的6个方面:
1. 安全评估与路线图
开展网络威胁评估,对企业当前安全状态进行成熟度评估,并定义
不同成熟度的阶段目标,同时对照ISO 27001等领先实务开展差异分
析,设计实施路线图。
2. 获取董事会对安全转型的支持
重新定义网络安全治理架构,例如重新调整IT职能以外的网络安
全,确保董事会了解所有流程。
3. 检讨并更新安全政策、程序和支持标准
实施信息安全管理体系(ISMS)。
4. 建立安全运行中心(SOC)
制定已知情形监控和事件响应程序。
5. 设计并实施网络安全控制
评估数据防泄漏流程及身份与访问管理的有效性。
6. 测试业务连续性计划和事件响应程序
定期对网络边界、接口和软件应用程序进行渗透测试,识别可能被
利用的漏洞。
12 | 网络犯罪,未雨绸缪| 安永2014年全球信息安全调查
42% 的企业未设立安全运行中心。37% 的受访者表示未对网络风险进行实时监控。
网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 13
启动 | 调整 | 预见
我们的安全运行中心紧密集成,与业务运营主管定期沟通,
了解企业关心的问题与风险
20%我们的安全运行中心每个季度收到业务部门的最新动态,
以便了解和解决它们关心的问题和风险
10%我们的安全运行中心每年收到业务部门的最新动态,
了解和解决它们关心的问题和风险
12%我们的安全运行中心未与业务部门沟通
22%不知道36%贵公司安全运行中心对已发现/警示的事件启动调查需要多长时间?
10分钟以内
12%1小时以内
25%4小时以内
13%1天以内
13%超过1天
4%不知道33%
安全运行中心
为信息安全职能提供支持的流程和技术对基本的网络安全至关重要。只有对这
些流程和技术进行集中管理,规划和协调才能发挥最大的效用,这就是安全运
行中心的重要作用。安全运行中心可以被外包,但必须确保它能满足贵公司的
业务运营需求 - 我们看到它已经从放之四海皆准向定制化模式发生了明显的
转变 – 了解网络安全威胁和问题的最新进展并根据企业战略进行调整。
令人担忧的是,在我们的调查中,尚有40%的企业未设立安全运行中心。而对
于那些已设立安全运行中心的企业,集中管理的益处不是未得到发挥就是未被
企业传达或理解。超过一半的受访者未能回答安全运行中心是否满足企业运营
需求或表示不知情,抑或安全运行中心与业务部门之间未有沟通。
同时,在安全运行中心如何与最新网络威胁保持同步方面也缺乏认识。超过一
半的受访者表示无法回答该问题或不了解安全运行中心对已发现或警示的事件
启动调查所需的时间。在被要求或命令进行改进之前,企业首先需要更深入地
了解安全运行中心的工作。
总体而言,安全运行中心的技术基础设施和接口需要得到改进。如果安全运行
中心可以开始发挥效用,即使在最基础的职能中,亦将对提升企业保护自身的综合能力方面带来更多的益处。
贵公司安全运行中心如何确保满足业务运营需求?
采取动态方法
已经建立网络安全基础的企业
开始了这一旅程,但是想要保
持竞争力,企业必须持续改
进,以应对不断变化的业务环
境和改进本身所带来的新威
胁。最终,企业的网络安全要
求也会需要进行相应调整,包
括改变控制基础设施和技术能
力/使用,以支持改善对已知
风险的态势感知。如果企业不
去调整,那么网络安全基础将
很快失去效用。
14
启动 调整 预见
15
调整阶段在启动层面的基础上增加了以下特征:
1. 嵌入安全
企业做任何事都会考虑并包括网络安全:无论是建立新的业
务流程、开放新工厂、收购或推出新产品。可从网络安全角
度即时获取企业变革(而非事后产生的想法),不断变化的
网络安全要求内置于所有企业流程。其结果,网络安全将持
续保持最新状态。
2. 专注于不断变化的环境
更成熟的网络安全会持续调整企业及其环境的现有变革。例
如:数字化或使用云服务能够为企业带来前所未见的风险。
态势感知的增加使风险评估吸收企业内部变化,并能够对威
胁形势的预期变化做出反应。3. 动态方法
企业的网络安全灵活、敏捷且不断修正,持续改善以更好地
保护企业。
调整
启动| 调整 | 预见
改善举措循还周期:如何进行调整
企业不断面临着新的变化。举例如下:
?业务流程对于新技术(社交媒体、云计算、数字化、大数据等)必要整合
?移动设备(自带设备等)的指数增长,模糊了业务和个人世界的界限
?管理服务和远程托管的增长,更加依赖复杂应用(许多为远程托管)
?流程控制基础设施与后勤办公室和外部世界的整合
?快速变革的监管环境和要求
这些都将导致企业需要对网络安全能力进行不断改善和再发展,用以应对新的
威胁和挑战。企业需要建立系统以高效和有效方式管理这一周期,以从接受新
的/不同安全机遇中受益,反过来也能促进业务并节省成本。
改善举措循还周期
16 | 网络犯罪,未雨绸缪| 安永2014年全球信息安全调查
调查发现信息安全职能完全满足要求的企业有所减少,而之前预计将
会增加。20132014调查发现信息安全职能部分满足要
求且正在改善的企业减少5%,而之
前预计将会增加20132014网络犯罪,未雨绸缪 | 安永2014年全球信息安全调查 | 17
启动 | 调整 | 预见
哪种描述最符合贵公司漏洞检测计划的成熟度
?
我们没有漏洞检测计划后退以抓住现实
为了领先于网络犯罪,网络安全与业务发展保持一致是至关重要的。这么多年
来,这一挑战一直在议程上占据着重要位置,且每年都取得进展。然而,五年
来全球信息安全调查第一次显示企业事实上正在退步。虽然企业也在持续改善
网络安全,但威胁形势(见本报告第一章)的变化速度则更快。我们在两年前
预见了这一趋势。* 这也表明企业越发从新闻或个人经验中意识到了威胁的现
实性。
今年,我们通过全球信息安全调查发现:
? 13%的受访企业称其信息安全职能完全满足企业需求,这比2013年的17% 更低**
? 去年,68%的受访者表示其“信息安全职能部分满足需求且正在改善”。而
今年则降至63%
这些结果显示企业需要更加认真地应对网络安全,相对,企业使用上述的改善
循还周期能帮助企业回到正轨。
调查也探讨了网络安全措施无法满足这么多企业的需要的原因,例如在漏洞 检测方面:
如何取得显著改善
那么哪些领域需要给予更多关注呢? 哪些是“唾手可得的成果”能够使企业更
加容易地取得进展?
以下为四个改善领域(适用于大多数企业):1. 改善安全运营中心(Security Operations Center , SOC )
运转良好的安全运营中心是防范网络犯罪的重要资产。如果企业中有一个安全
职能应当意识到最新的威胁,那么这个部门一定是安全运营中心。普遍而言,
只有三分之一的受访企业认为其安全运营中心不断更新应对最新威胁的举措,
这一结果值得令人警醒。
根本原因之一是大多数情况下安全运营中心过于注重技术。尽管技术特征十分
重要(能够被测量和监测),但起点更多的应是企业的安全需求(应当被测量
和监测)。
与企业的互动是关键:22%的全球信息安全调查受访企业告诉我们安全运营中
心与企业之间没有互动,36%甚至不清楚情况。如果企业不与安全运营中心定
期联系,安全运营中心如何注重合适的风险(和不断变化的风险)?
*
参考安永2012年全球信息安全调查 — 努力缩小差距(https://www.360docs.net/doc/233195649.html,/giss2012) ** 安永2013年全球信息安全调查 — 网络攻击之下(https://www.360docs.net/doc/233195649.html,/giss2013)
的企业未将信息安全包括
在员工业绩评估中
18 | 网络犯罪,未雨绸缪| 安永2014
启动| 调整 | 预见
2. 打造核心网络安全团队
围绕核心团队整合网络安全方法和活动:通过在核心团队中建立网络安全知识
库,企业将能够更加容易地适应新威胁。根据企业规模和要求,这一核心团队
可以集中建立或分散在各职能/跨界中。
核心团队应当注重通过培训提升技能和安全意识,并将信息安全实践落实到每
个员工日常工作中,核心团队成员应当作为榜样以身作则。
3. 建立问责制
更完善的问责制和绩效评价是实现执行力提升的关键。如果员工意识到企业安
全受到威胁的同时也意味着其工作安全也将同样遭受威胁,并且将网络安全作
为其业绩指标,这将激励员工安全意识和执行力的持续提升。可以将所需行为
准则纳入到员工合同中—尤其是能够获取关键信息的员工—并将其包含在绩效
评价中。除此之外,还应当严肃对待信息安全流程中的漏洞(即使不会导致显
著后果)。