投資安全比處理漏洞更重要

在本世紀之交，最大的網路安全威脅通常發生在網路層並且可以很輕鬆地緩解，因為IT部門對網路擁有完全的可見性，嚴格控制著對應用和資料的訪問。如今的情況卻大不相同。

隨著基於雲的應用的大量湧入以及數字化和自帶裝置（BYOD）趨勢的發展，如今的網路安全攻擊已經牽扯到多個層面。事實上，在波耐蒙研究所一份 2016 年報告《不斷變化的風險環境中的應用安全》中，一半的受訪者認為應用層攻擊變得更加頻繁，60%的受訪者認為它將比網路層攻擊更嚴重。

如今，網路威脅已經擴大到新的平臺和渠道，並採用社交工程、勒索軟體和DDoS等更加多樣化的攻擊戰術。《思科 2017 年年度網路安全報告》指出，超過一半的安全專家認為移動裝置、公有云中的資料和雲基礎設施是他們在網路攻擊方面最擔心的問題。

但是，新技術的出現只是推動網路安全發展的一個方面。如今網路罪犯的攻擊型別更加具有惡意破壞性，而且他們的攻擊更加頻繁、複雜且修復費用更加高昂。根據諮詢公司Grant Thornton的估計，亞太地區的企業由於網路攻擊造成的收入損失為813億美元，而歐洲為623億美元，美國為613億美元。

這在亞洲尤為明顯，這裡被認為是黑客的主要目標。僅在中國，網路攻擊已經從2014年的241起激增到2015年的1200起。2016年發生的針對菲律賓選舉委員會的網路攻擊被視為最大的政府資料洩露事件，數百萬選民的資訊在全國選舉前幾個月已被洩露。同時，發生在同一年的印度國家支付公司的安全漏洞造成320萬借記卡被非法使用，但這只是該地區發生的許多類似規模的攻擊之一。

這些事件可能讓人認為網路安全是所有企業的首要任務，無論是大型企業還是個人創業公司。然而，事實通常並非如此。儘管網路攻擊會造成重大收入損失，普華永道的一項研究發現近40%的企業根本不打算投資網路安全 。

曾經擔任索尼影視娛樂資訊保安執行董事的Jason Spaltro說過，有效的業務決策就是要接受安全漏洞的風險，並表示他不會投入1000萬美元避免100萬美元的潛在損失。不出幾年，該公司在2014年遭受了重大網路安全攻擊，造成將近1億美元的收入損失以及更多無形和隱藏的損失。

儘管這種對網路安全漠不關心的態度在以前尚可，但是如今的網路罪犯在本質上更加無情和惡毒，他們追求的不只是經濟利益，還企圖摧毀企業數十年樹立的聲譽——這可能會讓一個企業滅亡。現在問題已經不再是網路安全是否應該成為總體增長戰略的一部分，而是如何投資的問題。

F5公司的亞太區安全架構師金飛先生認為，企業應列出需要保護的事物的優先順序。並且安全評估必須成為應用開發框架的一部分，而不是作為事後補充手段。確保應用的安全不僅可保護企業的資料，更重要的是還能夠提升客戶體驗和他們對品牌的信心。

還需要注意的是，網路安全不只是IT部門的責任，它更是每個人的責任。從財務到高階管理層等不同業務部門之間的持續對話可讓企業更好地識別重大漏洞，瞭解終端使用者行為，規劃高效且強有力的網路安全戰略，並獲得在整個企業內部署安全措施所需的支援。最後，網路安全應融合到企業的各個方面，以確保企業可以留住客戶的信任並保護企業的利潤。

本文轉自d1net（轉載）