2017年網路犯罪現狀分析報告

 

概述

過去一年，對企業安全團隊來說一定是分外艱辛的一年。類似Petya和NotPetya這樣的攻擊表明，攻擊的影響規模正在顯著增加。最近，由某些政府開發的惡意軟體和囤積的漏洞資訊洩露，賦予了網路犯罪分子更強的攻擊能力。IT行業正在通過釋出安全補丁和更新程式，努力跟上對手的腳步。而像物聯網等新技術的應用又為安全團隊製造了層出不窮的新型漏洞來應對。

根據外媒CSO的一項新調查顯示，所有這些正促使許多企業反思該如何應對網路犯罪的威脅。其調查結果不僅可以深入剖析美國企業面臨的威脅的性質和範圍，而且可以深入瞭解這些企業的應對方式。

《2017美國網路犯罪狀況調查》是每年由美國特勤局和卡內基梅隆大學軟體工程研究所的CERT（計算機緊急應對小組）合作釋出的一項研究報告。而今年的調查由Forcepoint贊助。

該調查共有510名受訪者，70%的受訪者在各行業和公共部門擔任副總裁或更高階別的職務（其中35%為公司管理層）。

41%的受訪企業為員工500+的大型企業；而這些受訪企業的平均IT安全預算為1100萬美元。

 

越來越受重視的安全工作

儘管安全工作在短期內見效甚微，但是其在企業層面卻得到了越來越多的關注，獲得了越來越多的資源投入。如今，20%的首席安全官（CSO）/首席資訊保安官（CISO）每月都會向董事會進行安全報告，高於去年同期的17%。

然而，仍有61%的董事會將安全視為IT問題，而不是公司治理問題。這一數字與去年的63%減少得並不明顯。

 

企業在IT安全預算方面的投入也越來越多，平均預算增長了7.5%。其中10%的受訪企業表示IT安全預算增長超過了20%。其中大部分的預算資金主要用於：新技術（40%）、審計和評估（34%）、培訓新技能（33%）以及知識共享（15%）。此外，受訪企業還表示，他們正在投資重建其網路安全策略（25%）和流程（17%）。

 

說到網路安全策略，一個驚人的結果顯示，35%的受訪者認為網路應對計劃並不是安全策略的一部分。但好訊息是，19%的受訪企業計劃在明年實行一項網路應對計劃。

儘管，企業仍在大規模使用諸如移動、雲和物聯網等新技術，但是對安全威脅的重視和投入也使公司對其安全效能有了更多信心。76%的受訪者認為他們有專業的技能來應對這些威脅。不管怎麼說，如今有74%的受訪者表示他們比一年前更關心安全了，從去年的64%到今年的74%實現了一個飛躍。

安全事件減少，但影響加劇

受訪者估計，他們公司在過去一年裡發生的安全事件數量從平均161起下降到了148起，下降幅度為8.2%。但是，儘管安全事件數量有所下降，但是仍有68%的受訪者表示，其公司遭受的損失與上年相同或更高。沒有虧損的企業數量也從36%下降到了30%。

 

雖然，安全事件總數降低了，但是導致損失或損害的攻擊事件卻有所增多。在過去一年中，有14%的受訪者表示自己的關鍵系統受到過干擾，高於去年的10%。此外，還有10%的受訪者表示損失了機密或私人資訊，該資料與去年的7%相比也有所增加。而破壞企業聲譽或影響客戶和合作夥伴的事件發生率都下降到了4%。

【儘管事件總數下降了，但是釣魚攻擊和勒索攻擊的數量增加了，同時企業因網路攻擊造成的損失也隨之增加了】

如果你一直關注有關網路攻擊的報告，就不會對上述的調查結果感到奇怪。36%的受訪者表示受到了釣魚攻擊影響，高於去年的26%。勒索攻擊的影響比例也從14%上升到了17%。金融欺詐也從7%上升到了12%。

關鍵安全建議

網路犯罪調查結果顯示，大多數企業正在努力提高防禦水平來阻止或減少攻擊造成的損失。報告還顯示，太多企業跟不上威脅環境的變化或同行的網路安全標準。對此，他們可以通過以下幾點安全建議來跟上時代的步伐：

1. 接受安全性不僅僅是個IT問題

越來越多的首席安全官/首席資訊保安官正在定期向董事會報告的原因在於：有效的網路安全策略往往要從上層開始，並覆蓋公司的所有領域。更頻繁地向企業高管報告安全問題，各部門選取員工組建風險委員會，這都是向安全邁出得很好的第一步。

2. 對安全人員進行投資

這意味著要確保為安全人員提供充足的資源和培訓，以保證其時刻掌握最新的威脅形勢。此外，參與共享威脅資訊的組織及其解決方案也是至關重要的一步。

3. 擴大威脅視野

39%的受訪者認為，外部威脅的破壞力最為嚴重。一旦外部人員發起攻擊行為，平均需要花費92天才能發現。所以，評估入侵檢測工具和流程的有效性，才是明智之舉。

4. 為員工制定持續的安全意識培訓計劃

調查顯示，28%的安全事故由內部人員的疏忽或意外所造成。考慮到基於欺騙的攻擊正在飛速進化，企業需要為員工提供定期、持續性的培訓。

5. 評估供應鏈和合作夥伴的網路安全能力

網路罪犯通常會將那些與大企業有業務往來的小企業作為突破口，因為他們認為這些小公司更易下手。所以，務必要確保這些小企業不會成為你安全體系中的薄弱環節。

6. 重要的事說三遍：測試，測試，測試

只有53%的受訪者表示，他們有方法來測試其安全體系的有效性。測試是一件必不可少的事，不應該只是保持一年一次的頻率。網路威脅形勢需要企業定期進行測試。