说到网络犯罪,似乎没有一家企业能毫发无损。越来越多的入侵正在发生,相关的成本在上升,商业领导越来越担心信息安全仍然是一个无法控制的挑战。这是《CSO》杂志在美国特勤局、卡耐基梅隆大学软件工程研究所和普华永道的帮助下进行的一项年度调查——2014年美国网络犯罪调查的主要结果。
第12次网络犯罪趋势调查,本周发布的在美国,企业发现的安全事件平均达到135起,每个组织。不幸的是,三分之二以上发现违规事件的组织无法对这些事件作出成本计算,而那些可能造成平均损失的组织总共为415 000美元。
美国特勤局(us Secret Service)刑事调查部特别探员埃德·洛厄里(Ed Lowery)在一份新闻稿中说:“尽管在网络安全技术上有大量投资,但网络犯罪分子仍在寻找规避这些技术的方法,以获取敏感信息并从中获利。”
CSO副总裁兼出版人Bob Bragdon说,尽管朝着正确的方向努力,但情况正在变得更糟。他表示:“尽管在人员、流程和技术方面进行了投资,以应对网络威胁,但情况仍在继续恶化。”Bragdon指出,企业仍没有在安全方面进行战略投资,以便保护自己最宝贵的资产,如知识产权和商业机密。
[相关:网络犯罪的可悲状态]
另一个挑战是:安全跟不上科技创新的步伐。“在考虑自带设备(BYOD)的情况下,颠覆性技术的网络安全仍然不够。云和软件定义网络(SDN)总是先放在适当位置,然后再确保安全,”Bragdon说。
调查发现了8个常见的不足之处,在这些方面花费和努力确实滞后:
“大多数组织对网络安全支出没有采取战略措施。
“组织不评估第三方供应商的安全能力。
“供应链风险没有被理解或充分评估
“移动设备的安全性不够,风险也会增加
“网络风险没有得到充分评估
“各组织不会在威胁和应对方面共享情报
“内部威胁没有得到充分解决
“员工培训和意识在阻止和应对事件方面非常有效,但大多数组织都缺乏。
调查还发现,超过三分之一的受访者表示,去年发现的安全事故数量有所增加。因此,超过59%的受访者表示,他们今年比过去更担心网络安全威胁,也就不足为奇了。ceo们当然很担心。普华永道2014年的年度全球CEO调查发现,69%的美国受访者担心网络威胁对他们的增长造成影响。例如,目标成本可能高达数亿美元,有些人估计超过10亿美元。可以肯定的是,最终成本在诉讼结束前不会统计,而且网络安全保险最终将覆盖多少也不清楚。
[2013结果详见为什么企业在与网络犯罪的战争中失败了]
调查的结果之一是企业在威胁和应对方面没有分享足够的情报。这种情况可能正在开始改变,至少在零售行业是这样。在经历了多次高调的攻击之后,零售业正在寻找有效共享网络安全信息的方法,包括建立一个商人和零售业信息共享和分析中心(ISAC)。本质上,ISACs提供了一种方法来收集和共享针对特定行业的攻击和攻击趋势的信息。许多isac已经就位,主要是在关键的基础设施,包括电力、水、金融服务和十多个其他方面。
花旗集团(Citi Group)技术信息安全主管肯•斯维克(Ken Swick)表示:“在金融行业工作,我看到了ISACs的价值。”一个部门担心的威胁类型可能与另一个部门不同。通过在同行之间共享这些信息,可以在更多机构看到威胁之前采取潜在的积极措施。
虽然每个组织平均检测到135起安全事件,但这还不包括未被检测到的事件,考虑到上述3000家公司在接到FBI通知前都没有意识到网络入侵,这一数字可能相当可观。为什么会有如此糟糕的表现?由于许多企业没有运行成熟的信息安全程序,许多人同意这一点。
“基本上,他们只是在运行合规程序,”451集团的安全分析师Javvad Malik说。
Bragdon对此表示赞同,并表示“以合规为基础的安全项目不会带来有效的网络安全,尤其是在后边界企业,但企业将继续关注合规。”
不足为奇的是,遭受黑客攻击的组织更重视他们的安全程序,也更有可能有一个信息安全部门,负责对事件做出反应。研究还发现,大型组织更倾向于使用最新的安全控制手段,如恶意软件分析、威胁订阅服务和威胁建模,以解决总体的网络安全风险。在不久的将来有改善的希望吗?不是很多。
“我希望塔吉特这样的公司和雅虎的举措能提高董事会和高级管理层的意识。世界经济论坛将把对网络风险的担忧与大多数企业的经营环境联系起来。但正如我的一个老老板喜欢说的那样,希望是属于孩子的。
这个故事,“美国的网络犯罪采取了另一步后退”最初发表于方案 。