2017年4月18日,《安永第19屆全球信息安全調查報告(GISS)》正式發布,今年的主題是“網絡彈性之路:感知、抵御、應對”。該報告是安永持續第19年發布的全球信息安全調查報告,旨在保障企業在開拓創新、拓展業務的同時,維護其網絡安全,并向其提供建議和幫助。報告采訪了1735位來自全球知名的國際企業的首席信息官、首席信息安全官以及其他高管,覆蓋72個國家,幾乎涉及所有行業。安永對調查結果和數據進行了深入分析,并結合了安永與全球客戶在網絡安全解決方案中的廣泛合作經驗,從感知、抵御和應對三個維度,全面探討了企業在應對網絡安全上的挑戰與對策。
安永亞太區信息安全服務主管Richard Watson表示:在網絡安全全球化的時代,網絡彈性之路必將助力全球網絡安全健康發展,增強企業感知、抵御、應對的能力。
為了應對網絡威脅格局的日新月異,企業歷經數十載的學習,已經學會從采取基本措施和應急響應到建立更為復雜、健壯和規范的流程。然而,一系列重大變革的發生,如數字化創新的加劇、互聯網+的盛行、監管環境的變化和網絡犯罪的爆炸式增長,以及我國網絡安全頂層設計的逐步展開,都促使企業更加積極主動的升級保護措施。網絡彈性之路應運而生,通過感知、抵御和應對三個組成部分,系統化的構建企業應對網絡威脅的安全能力。
根據調查,87% 的董事會成員和企業高管都表示對其公司層面的網絡安全缺乏信心。安永大中華區風險主管王海瑛表示,“這個結果表明信息安全現狀令人堪憂,急需將信息安全議題整合到企業風險管理的議程上。”
安永大中華區信息安全主管阮祺康先生表示,“為了持續促進網絡彈性的建設,企業應繼續關注其對威脅的感知能力,增加對安全防御措施的投入,積極主動的進行安全事件的應對,即使是對無害的安全事件,也應引起足夠的重視,從而系統性的增強網絡安全信心。”
感知——發現逼近的威脅,保護企業生態
調查結果顯示,近些年,企業極大地提升了威脅感知能力,借助網絡威脅情報建立了網絡威脅的預測和持續監控機制。如今企業在預測與偵查復雜網絡攻擊的能力上愈發自信,今年有50%的企業認為其有能力實現威脅的預測與偵查,這是2013年以來的最高水平。但是,依然有很多企業在最基本的感知能力上存在差距:44%的企業沒有安全運營中心(SOC),64%的企業沒有或只有非正式的威脅情報計劃,62%的企業在經歷了看似無害的安全事件后,并不會增加其信息安全支出。與此同時,物聯網的發展與互聯設備的爆炸式增長也將逼迫企業進一步提升網絡威脅感知能力。2016年11月7日,全國人大常委會通過了《網絡安全法》,也明確提出了針對網絡安全的監測預警要求。
抵御——構建企業護盾,關注網絡風險,而不僅僅是網絡安全
總體而言,企業在抵御攻擊的能力方面已經獲得了不小的進步,然而攻擊的形式多種多樣而且日益復雜,86%的受訪者表示其網絡安全職能不能完全滿足企業的需求,接近半數(48%)的受訪者稱其落后的信息安全管控已經成為風險的高發地帶。員工粗心或缺乏安全意識(55%)、惡意軟件(52%)成為調查中排名最高的漏洞與威脅。企業也需要從防故障導向轉變為安全需求導向,構建一個強健的、堅固的、具有彈性的安全操作機制,將攻擊的影響最小化并加強企業的抵御能力。
調查顯示,今年有53%的受訪者表示其網絡安全預算在過去12個月內有所上浮,61%的受訪者認為預算限制是挑戰企業信息安全運營貢獻和價值的最主要的原因。同時,69%的受訪者認為需要再增加50%的預算。
應對——快速恢復,調整與重塑
調查報告認為在網絡漏洞層出不窮的數字化時代,建立一個強大、集中的響應架構,并將其納入企業整體風險管理戰略中尤為重要。不僅要關注快速恢復,同時需要靈活、敏捷地調整業務流程和保護機制。企業若要增加其安全性和可持續性,需要重新構建以改善其彈性和運營機制。調查發現,業務連續性管理(BCM)已經連續多年成為企業應對威脅、攻擊或其他破壞能力的核心。今年,仍然有57%的企業將BCM與數據防泄漏/丟失并列為最高優先級。安全事故與事件管理(SIEM)與安全運營中心(SOC)并列第六位。46%的受訪者稱,未來的12個月將會在這兩項上投入更多的資金,僅次于安全意識和培訓。
安永大中華區信息安全主管顧卿華先生表示,“GISS報告也能為中國企業帶來諸多啟示,隨著中國網絡安全立法進程的開始與將來的不斷完善,中國企業必須堅持信息化創新發展與網絡安全的并重,尤其是業務與核心資產的安全防護、數據泄露的監測與防范、以及隱私保護等領域將成為企業關注的焦點,也將促使企業不斷提升其網絡彈性防御能力。”
根據報告的調查結果,安永建議,企業應深入了解業務和運營狀況,規劃并評估企業在網絡生態中的生態關系,識別存在的風險,確定重要資產,確定風險因素,憑借卓越的領導力和積極的員工參與,構建一個應變自如的企業文化,實現“整個企業”的網絡彈性。
阮祺康表示,“網絡彈性的建設能夠促進企業網絡安全和信息化發展,提升組織生存力,使得企業在當前的生態環境中游刃有余。安永能夠助力企業建設定制化的網絡彈性之路,從感知、抵御到應對,幫助企業在商業變革的浪潮中穩健發展。”