品牌

不确定产品型号,请按此索引

小型企业/中型市场企业如何强化其防范当前威胁的防御措施

时间:2018-06-11点击:0次


  • 53% 的中型市场企业曾出现安全漏洞

  • 高达5000资安警示平均数量

  • 中型市场公司调查 55.6%的资安警示


29% 的中型市场公司表示,安全漏洞对他们造成的损失低于 10 万美元。20% 表示损失在 1,000,000至 2,499,999 美元之间


许多中小型市场企业渴望与大型企业一样,拥有更有效的网络安全措施。SMB 充满活力,是创新的支柱和勤奋的典范。他们的执行速度更快,并且比企业同行更加勤奋。他们面临相同的网络威胁。

 

在现今网络威胁的态势中,无论规模大小,所有的组织都面临遭受攻击的风险。只不过小型企业/中型市场企业已逐渐沦为攻击的焦点,并且通常被当成大型攻击行动的跳板或管道。恶意人士将小型企业/中型市场企业视为容易得手的目标,其资安基础设施和安全措施不够复杂,训练有素的人员数量亦不足以管理及响应威胁。

    

许多小型企业/中型市场企业才刚开始意识到自身对网络罪犯极具吸引力。只不过,这种认识往往来得太晚:是在攻击之后。视攻击行动的性质和范围而定,这些企业要从网络攻击中复原可能并不容易,且需要高昂成本(甚至不可能复原)。本报告将协助您了解小型企业面临的风险以及在安全性方面如何胜过同行,并针对 2018 年及之后的注意事项分享一些指引。

 

根据《思科 2018 年资安能力基准研究》的发现指出,半数以上 (54%) 网络攻击事件所导致的财务损失超过 500,000 美元,包括但不限于收入、客户、商机及现金支出成本方面的损失。这个金额足以让一个毫无准备的小型企业/中型市场企业永久停止营运。

   

商业促进局 (BBB) 最近一项研究2 有助于突显小型企业/中型市场企业在财务上可能难以承受严重的网络攻击。BBB 询问北美的小型企业业主:「一旦您永久失去了对基本数据的存取权限,您的企业还能保持获利多久?」只有大约三分之一 (35%) 表示,他们可以保持获利超过三个月。报告中有一半以上的受访者表示,他们会在一个月内就停止获利。


值得一提的是,我们认为SMB 是指员工人数未达 250人的公司,并将其定义为员工人数介于 250-499 人的公司。此报告同时采用上述二种定义。我们在《思科 2018 年资安能力基准研究》中分析了 SMB受访者的调查结果,我们仅将其称为基准研究。该研究针对目前使用的安全措施提供深入分析,并将此完整结果与过去三年进行比较。我们有关 SMB/中型市场的资料包括 26 个国家/地区的1816 名受访者。

 

同事之间一天内会失去多少业务?从没有任何 IT 管理员说过这个。系统停机会破坏生产力

和获利能力,对于甫遭受网络攻击的企业来说是一大问题。根据《基准研究》的研究发现,有 40% 的受访者(250-499 名员工)因为过去一年严重的安全漏洞而经历八小时或更久的系统停机。


思科对研究样本(拥有 500 名或更多员工的企业)中的大型企业也发现类似的结果。但不同的是,大型企业往往在攻击后较小型企业/中型市场企业更有弹性,因为他们拥有较多的资源可用于响应和复原。此外,39% 的受访者表示,本身至少有一半的系统受到严重资安漏洞的影响。


小型企业不太可能拥有多个据点或业务部门,而且其核心系统之间的相互连结通常更加紧密。在这些企业遭受攻击时,威胁可以轻易地透过网络快速散布到其它系统。


令人彻夜难眠的资安问题在问及最大的资安挑战时,受访者最关心的是以下三件事:

- 针对员工的锁定攻击(想想精心设计的网络钓鱼)

- 进阶持续性威胁(前所未见的进阶恶意软件)

- 勒索软件

勒索软件(有意思的是,勒索软件并未名列大型企业最受关切的「前 3 名」)是一种加密数据的恶意软件,而且如您所知,通常会影响使用者直到其支付赎金为止;也会造成小型企业/中型市场企业严重的营运中断和系统停机时间。对于这些企业而言,尽管方式不同,勒索软件也同样代价高昂:思科资安专家解释,小型企业/中型市场企业通常更倾向于支付赎金给歹徒,以便迅速恢复正常运作。他们根本无法承受的停机时间以及无法存取重要数据(包括客户数据)的损失。


SMB 无法忽视的其它威胁


思科安全专家表示,尽管担心勒索软件,然而其所造成的威胁正逐渐减弱,因为有愈来愈多的攻击者将注意力转移到非法的加密货币采矿(「cryptomining」)。这项犯罪活动的吸引力有三:不法利益丰厚、款项无法追踪,而且攻击者不必太担心他们的行为遭到追究刑事责任的可能性(例如,由于勒索软件只会锁定医院的系统和基本数据,因此患者不会有被剥夺重症监护的风险)攻击者还可以透过各种方法提供采矿软(「采矿工具」),包括透过电子邮件传送的垃圾邮件攻击行动和攻击套件。


思科威胁研究人员解释,使用新型非法加密商业模式的恶意人士「不再采用诱骗受害者打开附件或执行恶意程序代码的方式,将系统扣为人质藉此惩罚被害者,然后要求赎金。现在,[他们] 会积极利用受感染系统资源。」对于无意中帮助非法加密操作的小型/中型市场企业而言,系统效能变慢可能是遭到入侵的唯一警讯 - 除非他们拥有合适的技术可以侦测加密货币采矿活动的存在。


0.5% 的内部人员威胁:100% 太高了

随着受访公司将更多数据和处理程序移至云端,他们还必须采取措施来管理另一项潜在威胁:恶意内部人员。如果没有可以侦测可疑活动(例如下载敏感的客户信息)的工具,他们就会承受透过企业云端系统失去智能财产权、敏感的财务和客户端数据的风险。

思科威胁研究人员最近的一项调查突显了这项风险:2017 年 1 月至 6 月期间,他们运用机器学习来分析 34 个国家/地区中150,000 名使用云端的使用者,藉此来检验数据外泄趋势。超过 1.5 个月,研究人员发现0.5% 的使用者下载了可疑内容。0.5% 算严重吗?换句话说,这意味着 400 名员工的公司中就有两个人是内部威胁。这个百分比绝对是太高了。具体来说,这些使用者总计从企业云端系统下载了超过 390 万份文件。换算成 1.5 月内,平均每位使用者下载了 5200 份文件。


挑战


防范上述威胁的最佳防御措施,需要对 IT 资源进行协调与配合。这些资源通常是企业可积累以遏止攻击的人员、流程与技术。然而,相较于其同行大型企业,小型企业面临的挑战是如何协调这些资源,从而产生对威胁的洞察力,并在这些攻击行动造成损害之前遏止或减缓攻击。长期缺乏影响企业的安全性人才,对于同行的小型企业的影响更大。

SMB 资安技术趋势

展望未来,小型企业确实会寻求透过新工具来阻止威胁,以因应威胁其企业的网络安全挑战。

《基准研究》的受访者表示,如果有可用的人力资源,他们更有可能会:

- 将其端点安全性升级到更复杂的进阶恶意软件防护/EDR(最常见的回应为 19%)。

- 考虑以更优异的 Web 应用程序安全措施来防范 Web 攻击 (18%)

- 部署入侵防护,这向来被视为遏止网络攻击和企图攻击的重要技术 (17%)。

 

在企业考虑新技术的同时必须面临另一项挑战,就是判断其产品是否能有效地搭配运作以防护业务;而不应低估透过多个主控台来合并响应威胁或安全事件的管理负担。位于乔治亚州格里芬的思科合作伙伴 Liberty Technology 执行长 Ben M. Johnson 表示:「许多人认为,如果他们采用多家厂商的业界最佳方法,就能提供更周全的防护,但我们看到的是,管理更加困难、成本更高、整体安全效率降低。」机器学习:提供安全协助,或只是一时炒作

 

拜最近的宣传热潮所赐,我们都听说过机器学习。事实证明,中型市场企业与其大型同行企业同样依赖能够有效侦测攻击的行为分析解决方案。与拥有超过 1000 名员工的企业相比,中型市场企业对于运用机器学习和自动化的解决方案的依赖程度稍微较低。


若为已部署产品提供额外一层侦测功能,而不是购买单独的产品以「进行机器学习」,则机器学习最为有效。透过这种方式,团队可以获得采用机器学习以机器速度侦测异常和威胁的好处,却不会给团队增加任何新的负担。行动化的中型市场企业企业也体认到,他们的安全措施必须符合现代工作环境的需求,尤其是转向行动化和采用行动装置。56% 的受访者表示,防御网络攻击的行动装置有其难度或极具有挑战性。中型市场及云端体认到安全挑战后,许多受访者都期望可以在不增加人员或耗尽现有资源的情况下,透过云端来强化防御机制。问题是,将安全机制移至云端的策略是否足以抵御众多的攻击。此外,企业不能只是透过将数据迁移到云端来卸除其安全责任:他们仍然必须了解云端供货商实施的安全控制措施以及云端中潜在的漏洞会如何影响内部部署的资源。根据思科的研究显示,中型市场企业采用云端服务的比例显然正持续攀升。在 2014 年,55% 的企业表示他们透过云端的形式托管了部分的网络;到了 2017 年,这个数字已经提高到 70%。


许多受访者认为云端有助于弥补防御上的一些差距,并解决基础设施和员工能力上的不足。事实上,根据思科研究指出,中型市场企业在云端中托管网络的首要原因,是相信云端可以提供更妥善的资料安全性 (68%);第二个最热门的原因,是企业缺乏足够的内部 IT 员工 (49%)。

 

中型市场企业也偏好采用云端,因为其具有可扩充性,亦即减少企业对内部资源的依赖以及灵活调度营运支出,从而节省资本支出。


人员:寻找强化安全性的工作人员


好消息是《基准研究》显示,有 92% 的中型市场企业设有负责资安的高阶主管。


有鉴于人力资源充足,中型市场企业将会愿意添购更多安全工具,例如进阶的端点防护或 Web 应用程序防火墙。中型市场企业与较大型同行企业的共同点在于:IT 人员的短缺阻碍其建立防御机制的能力。根据思科的研究显示,根本没有足够的内部在职人员来管理可以提高安全性的工具。因此,许多小型企业/中型市场企业希望透过外包方式协助获得所需的人才,以便增加他们对威胁的了解、节省成本以及对安全漏洞更迅速做出响应。希望能获得更公正的深入分析是中型市场企业将资安事务外包的最常见原因(图 8),其次是成本效益和及时响应资安事件的需求。委外服务的协助是企业充分运用有限资源的理想方式。但是,如果这些公司认为外包供货商或云端合作伙伴就能提供内部在职人员所缺乏的所有功能,那么他们可能就会遭遇麻烦。位于密执安州卡拉马朱市的思科合作伙伴 NuWave Technology Partners 执行长 Chad Paalman 发现,许多小型企业/中型市场企业对于外包安全供货商究竟能提供多少的分析和监控并没有概念。

「许多企业领导人都对他们的网络认识不足。他们会假设:如果有防火墙,就好像门上装了挂锁,没有人可以出入。还会假设:如果他们的安全防护已经外包给托管服务供货商 (MSP),就会享有日志监控或是包括了入侵侦测在内的服务。」


其实最重要的是,小型企业/中型市场企业仰赖外包合作伙伴来提供:

- 外包建议和咨询服务 (57%),

- 事件响应 (54%),

- 安全监控 (51%)。

他们反而不太可能委外处理威胁情报之类的工作 (39%)。

好消息是,中型市场企业似乎预留了一些有限的资源,以便了解威胁并做出响应,例如支持威胁情报和事件响应。程序:定期检查以管理安全性全面的定期安全性流程(例如对高价值资产的控制以及对安

全措施的审查),可协助企业找出其安全防御机制中的弱点。小型企业/中型市场企业可能因为缺乏人力配置,而无法普遍采用他们其实应该采用的这些程序。例如,根据《思科 2018 年资安能力基准研究》,相较于大型企业,中型市场企业较不可能赞成他们定期审查安全措施、拥有审查安全功能的工具,以及定期调查资安事件。


往好的方面想,91% 的中型市场企业表示他们每年至少进行一次演习,以测试他们的事件响应计划。但是,正如同他们对云端和外包合作伙伴的依赖,真正的问题在于此类事件响应计划是否足以遏止日益复杂的攻击。连接人员、程序及技术:协调程序的挑战如果小型企业/中型市场企业将更多安全产品和厂商加进其防御机制中,并将 IT 资源转移去管理这些产品,他们的企业是否能因此而更加有效管理信息安全?反之亦然,至少在了解和协调安全警示方面也是如此。如今,大多数小型企业/中型市场企业均体认到,随着他们建立更复杂的产品和供货商环境,他们的责任也会增加。举例来说,有77% 的中型市场企业认为,从这些解决方

案中协调警示具有一定的难度或极具挑战性。

当企业尝试分析这些警示时,同时面对人员、程序和技术的挑战,可能会造成许多警示未经调查,与《基准研究》的调查结果不谋而合:


对未来的建议


当组织考虑使用新工具时,理想情况是他们可以不必新增多家供货商以及产生更多的警示。考虑到这一点之后,接着要问的是产品是否以开放性为建置基础?如何在共享数据和威胁情报方面与其它人整合?是否有整合管理主控台。如果厂商表示产品的建置旨在与其它产品搭配使用和协同运作,这是指开箱即用还是买家必须进行大量的 API 整合。机器学习,尽管不无炒作之嫌,但在资安方面还是占有一席之地。不过,将机

器学习做为已部署产品内部的侦测层,而不是从另一家厂商添购来进行管理的独立产品。


人员和程序


简而言之,就是拟订改善网络安全的策略。根据企业领导人的资源中心Vistage 研究中心的研究,只有 38% 的小型企业/中型市场企业已经拟定积极的网络风险策略。

您的计划是否包括接受适当培训的使用者?您的保单是否涵盖因网络攻击所蒙受的业务损失?如何建立业务持续性和危机沟通计划,以便缩短复原时间,并协助防止商誉受损。

此外,IT 主管必须明确说明企业管理阶层对于数据外泄真正想知道的事项:

- 对企业的影响为何

- 资安团队采取了哪些措施来遏制和调查威胁。需要多久的时间才能恢复正常营运。

 

结论


小型企业/中型市场企业推动网络安全改善措施的最后一点建议是,体认到渐进式改变优于不改变。简而言之,他们不应该让对「完美」安全措施的追求阻碍「变更好」。总的来说,完美并不存在。

小型企业/中型市场企业也必须明白,世上没有「万灵丹」技术解决方案,可以解决所有网络安全挑战。因为威胁态势过于复

杂和变化多端,所以攻击面总是不断扩大和改变。而且,为了响应,资安技术与策略也必须持续演变。