F5：亡羊補牢為時已晚，投資網路安全比處理漏洞更划算

在本世紀之交，最大的網路安全威脅通常發生在網路層並且可以很輕鬆地緩解，因為 IT 部門對網路擁有完全的可見性，嚴格控制著對應用和資料的訪問。如今的情況卻大不相同。

隨著基於雲的應用的大量湧入以及數字化和自帶裝置 (BYOD) 趨勢的發展，如今的網路安全攻擊已經牽扯到多個層面。事實上，在波耐蒙研究所一份 2016 年報告《不斷變化的風險環境中的應用安全》中，一半的受訪者 (50%) 認為應用層攻擊變得更加頻繁，甚至更多的受訪者 (60%) 認為它將比網路層攻擊更嚴重。

如今，網路威脅已經擴大到新的平臺和渠道，並採用社交工程、勒索軟體和 DDoS 等更加多樣化的攻擊戰術。《思科 2017 年年度網路安全報告》指出，超過一半的安全專家認為移動裝置 (58%)、公有云中的資料 (57%) 和雲基礎設施 (57%) 是他們在網路攻擊方面最擔心的問題。

所有目光都聚焦在 APAC 上

但是，新技術的出現只是推動網路安全發展的一個方面。如今網路罪犯的攻擊型別更加具有惡意破壞性，而且他們的攻擊更加頻繁、複雜且修復費用更加高昂。根據總部位於倫敦的諮詢公司 Grant Thornton 的估計，亞太地區的企業由於網路攻擊造成的收入損失為 813 億美元，而歐洲為 623 億美元，美國為 613 億美元。

這在亞洲尤為明顯，這裡被認為是黑客的主要目標。僅在中國，網路攻擊已經從 2014 年的 241 起激增到 2015 年的 1,200 起。2016 年發生的針對菲律賓選舉委員會的網路攻擊被視為最大的政府資料洩露事件，數百萬選民的資訊在全國選舉前幾個月已被洩露。同時，發生在同一年的印度國家支付公司的安全漏洞造成 320 萬借記卡被非法使用，但這只是該地區發生的許多類似規模的攻擊之一。

鑑於這些毀滅性的事件，您可能認為網路安全是所有企業的首要任務，無論是大型企業還是個人創業公司。然而，事實通常並非如此。儘管網路攻擊會造成重大收入損失，PwC 的一項研究發現近 40% 的企業根本不打算投資網路安全[1]。

損失的不只是收入

讓我們回到 2007 年，索尼影視娛樂當時的資訊保安執行董事 Jason Spaltro 說過一句很有名的話“有效的業務決策就是要接受安全漏洞的風險”，並表示他“不會投入 1,000 萬美元避免 100 萬美元的潛在損失”。不出幾年，該公司在 2014 年遭受了重大網路安全攻擊，黑客盜取並洩露了預發行的電影、個人私人資訊和敏感文件。總損失是多少？造成將近 1 億美元的收入損失以及更多無形和隱藏的損失。這包括客戶流失、難以獲取新客戶和遭投資者拋棄。

儘管這種對網路安全漠不關心的態度在以前尚可，但是如今的網路罪犯在本質上更加無情和惡毒，他們追求的不只是經濟利益，還企圖摧毀企業數十年樹立的聲譽 — 這可能會讓一個企業滅亡。現在問題已經不再是網路安全是否應該成為總體增長戰略的一部分；而是如何投資的問題。

來自應用交付領導企業F5公司的亞太區安全架構師金飛先生建議：首先，企業應列出需要保護的事物的優先順序。例如，在一個以應用為中心的環境中，您應該確定您網路中的所有應用（無論是由 IT 部門部署的應用還是由不耐煩的員工安裝的影子應用）並保護那些您認為最容易受到攻擊的應用。

第二，安全評估必須成為您應用開發框架的一部分，而不是作為事後補充手段。確保應用的安全不僅可保護您的資料，而且更重要的是還能夠提升您的客戶體驗和他們對您品牌的信心。

還需要注意的是，網路安全不只是 IT 部門的責任，它更是每個人的責任。從財務到高階管理層等不同業務部門之間的持續對話可讓您更好地識別重大漏洞，瞭解終端使用者行為，規劃高效且強有力的網路安全戰略，並獲得在整個企業內部署安全措施所需的支援。最後，網路安全應融合到企業的各個方面，以確保您可以留住客戶的信任並保護您的利潤。

原文釋出時間為：2017年5月10日

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。