在本世纪之交,最大的网络安全威胁通常发生在网络层并且可以很轻松地缓解,因为IT部门对网络拥有完全的可见性,严格控制着对应用和数据的访问。如今的情况却大不相同。
随着基于云的应用的大量涌入以及数字化和自带设备(BYOD)趋势的发展,如今的网络安全攻击已经牵扯到多个层面。事实上,在波耐蒙研究所一份 2016 年报告《不断变化的风险环境中的应用安全》中,一半的受访者认为应用层攻击变得更加频繁,60%的受访者认为它将比网络层攻击更严重。
如今,网络威胁已经扩大到新的平台和渠道,并采用社交工程、勒索软件和DDoS等更加多样化的攻击战术。《思科 2017 年年度网络安全报告》指出,超过一半的安全专家认为移动设备、公有云中的数据和云基础设施是他们在网络攻击方面最担心的问题。
但是,新技术的出现只是推动网络安全发展的一个方面。如今网络罪犯的攻击类型更加具有恶意破坏性,而且他们的攻击更加频繁、复杂且修复费用更加高昂。根据咨询公司Grant Thornton的估计,亚太地区的企业由于网络攻击造成的收入损失为813亿美元,而欧洲为623亿美元,美国为613亿美元。
这在亚洲尤为明显,这里被认为是黑客的主要目标。仅在中国,网络攻击已经从2014年的241起激增到2015年的1200起。2016年发生的针对菲律宾选举委员会的网络攻击被视为最大的政府数据泄露事件,数百万选民的信息在全国选举前几个月已被泄露。同时,发生在同一年的印度国家支付公司的安全漏洞造成320万借记卡被非法使用,但这只是该地区发生的许多类似规模的攻击之一。
这些事件可能让人认为网络安全是所有企业的首要任务,无论是大型企业还是个人创业公司。然而,事实通常并非如此。尽管网络攻击会造成重大收入损失,普华永道的一项研究发现近40%的企业根本不打算投资网络安全 。
曾经担任索尼影视娱乐信息安全执行董事的Jason Spaltro说过,有效的业务决策就是要接受安全漏洞的风险,并表示他不会投入1000万美元避免100万美元的潜在损失。不出几年,该公司在2014年遭受了重大网络安全攻击,造成将近1亿美元的收入损失以及更多无形和隐藏的损失。
尽管这种对网络安全漠不关心的态度在以前尚可,但是如今的网络罪犯在本质上更加无情和恶毒,他们追求的不只是经济利益,还企图摧毁企业数十年树立的声誉——这可能会让一个企业灭亡。现在问题已经不再是网络安全是否应该成为总体增长战略的一部分,而是如何投资的问题。
F5公司的亚太区安全架构师金飞先生认为,企业应列出需要保护的事物的优先级。并且安全评估必须成为应用开发框架的一部分,而不是作为事后补充手段。确保应用的安全不仅可保护企业的数据,更重要的是还能够提升客户体验和他们对品牌的信心。
还需要注意的是,网络安全不只是IT部门的责任,它更是每个人的责任。从财务到高级管理层等不同业务部门之间的持续对话可让企业更好地识别重大漏洞,了解最终用户行为,规划高效且强有力的网络安全战略,并获得在整个企业内部署安全措施所需的支持。最后,网络安全应融合到企业的各个方面,以确保企业可以留住客户的信任并保护企业的利润。
本文转自d1net(转载)
