思科2019年首席資訊保安總監(CISO)基準研究報告指出,因網絡保安漏洞而蒙受逾500萬美元損失的亞太區企業比例,高於全球平均水平。今次是思科第五年進行有關調查,結果顯示多個主要市場之中,包括澳洲、中國、印度和日本,有17%的企業於過去一年因網絡保安漏洞,導致逾500萬美元的財政損失,較全球平均8%的水平高出兩倍以上。
綜觀整個亞太地區,這個數字為16%,仍較全球平均8%的水平為高。當中又以澳洲及日本的企業在這指標中按年增幅最大,47%的澳洲企業及12%的日本企業均表示因網絡保安漏洞導致逾500萬美元的損失, 相比2018年的報告,受影響的澳洲及日本企業比例則只分別佔17%及3%。
然而,報告結果並非全為負面。當中,有39%的亞太區企業能將網絡保安漏洞的損失,控制在50萬美元以內,相比2018年的33%,反映出更多企業可將網絡保安漏洞的損失控制在較低水平。雖然調查未有向受訪者問及導致損失數字減少或增加的具體原因,但報告內的結果仍可反映出造成影響的關鍵趨勢。
成本固然是企業關注的一大重點,但網絡保安專才正努力改變他們一直單憑保安成果來衝量成效的方式,因為很多受訪者都將事故修復能力視為網絡保安成效的重要指標。目前,愈來愈多網絡保安業界領袖專注於事故修復所需的時間,多於檢測事故所需的時間,而這項指標亦已日趨普及,成為衡量網絡保安成效的全球新標準,亞太區有48%的受訪者對此表示認同,較2018年的36%有所上升,與全球趨勢一致。
這項指標開始反映企業如何從網絡保安事故中迅速復原。今次研究亦指出,只有4%的企業曾遭連續超過24小時的業務中斷。
報告亦顯示,企業如能從網絡保安漏洞中復原得愈快,所蒙受的財政損失就會愈低。顧問公司科爾尼(A.T. Kearney)於2018年發表的報告中預計,如果大型企業能近乎即時檢測網絡保安漏洞,便可把損失控制在約43萬美元的水平。但如果延遲多於一週才檢測到漏洞,損失金額將急升三倍,至平均損失1,200萬美元。
企業需要面對的其中一個主要難題是如何設立完善的通報機制,務求在安全環境下覆蓋不同供應商及方案。這是亞太區企業所面對的迫切問題,當中,17%的受訪企業表示其網絡保安環境涵蓋超過20個供應商,高於全球平均的14%。只有54%的受訪企業涵蓋少於10個供應商,低於全球平均的63%。
顯然,企業已意識到要為網絡保安做好準備,但高達93%的亞太區受訪者表示,設立能覆蓋不同供應商產品及方案的通報機制存有一定至極大的挑戰,結果遠遠高於全球平均的79%。
Stephen Dane補充:「我們需謹記網絡犯罪分子目前正不斷合作,並持續向目標進行網絡攻擊,為受害者帶來嚴重損失。企業需採取類似的網絡保安手段,透過更緊密的合作,共享安全情報,以來面對網絡攻擊的挑戰。第一步是以策略性方式建立安全的網絡環境,確保解決方案能得以整合,共同防範潛在的網絡攻擊。」
報告亦提到,全球各地的企業已開始整合與他們合作的網絡保安供應商數目。早於2018年,54%受訪者已表示他們會與10個或以下的供應商合作,而於2019年,更上升至63%。
報告針對首席資訊保安總監(CISOs)提出以下的建議:
- 根據策略可行性、網絡保險及風險評估去制定保安預算,並就結果計劃有關採購、策略和管理決策。
- 企業可採用經驗證的流程,減低其遭受保安漏洞影響的機會及程度。這些流程包括進行模擬訓練、採用嚴謹的檢測方法,並了解最快速的復原方法。
- 了解企業基本保安需求的唯一方法是促成IT、網絡、保安及風險/合規部門緊密合作。
- 協調不同工具以應付各種事故,以便加快由偵測到回應的速度,並減少人手操作。
- 結合網絡威脅檢測及存取保護功能,以解決內部威脅,並採用一致的保安架構,如零信任模式(Zero Trust)。
- 通過網絡釣魚模擬訓練、多重身份驗證、進階垃圾郵件過濾功能及DMARC電郵身份驗證協定,應付頭號威脅,防範商業電郵騙案。
這篇文章 網絡保安漏洞造成的損失於亞太區愈趨上升 但有關報告結果並非全為負面 最早出現於 TechApple.com。