網路犯罪
2021 上半年「網路資安風險指標」(CRI)
趨勢科技致力提供最新資訊來協助企業降低網路攻擊風險,很高興我們最近發表了最新一期的 網路資安風險指標 (Cyber Risk Index,簡稱 CRI) 調查。這項調查迄今已邁入第四個年頭,今年新增了「拉丁/南美」地區,因此調查範圍包括:北美、歐洲、亞太、拉丁/南美等四大地區,真正反映了今日企業面臨的全球網路資安風險現況。
CRI 是趨勢科技與 Ponemon Institute 合作的一項調查,對象包括各種產業大大小小的企業。CRI 是依據以下兩項條件來衡量企業所面臨的網路資安風險:
- 企業針對其所受網路攻擊的準備能力 (網路資安準備度指標 – CPI)
- 企業所受威脅的當前狀況 (網路資安威脅指標 – CTI)
從這兩項指標再計算出一家企業的整體網路資安風險指標 (-10 至 +10),越低的負值代表越危險。
全球 CRI
根據這份調查,全球當前的網路資安風險指標為 -0.42,依舊是偏高,且較 2020 年 (-0.41) 還更加危險。而且這還是因為拉丁/南美地區的資安風險較低,使得整體指標稍微拉抬上來一點,否則,如果將拉丁/南美地區排除在外,其餘三個地區的平均指標將來到 -0.58,較 2020 年下降了 .17 (從 -0.41 降至 -0.58)。
詳細觀察四個地區的數值可發現,北美地區的風險高於其他三個地區。若進一步細看個別地區的資料就會發現,北美的「網路資安準備度」最低,因而拉低了該地區的整體 CRI,變成風險最高的地區。值得注意的是,所有四個地區的「網路資安威脅指標」大致上一樣,但全部都是風險偏高。
意思就是,北美地區企業對網路資安威脅的防備能力最差,無法有效攔截或回應網路資安威脅。但四個地區所面臨的威脅程度大致相同 (網路資安威脅指標),所以才使得北美地區變成 CRI最低的地區。拉丁/南美地區本身的 CRI 為正值,這是前所未見,主要是因為 CPI 值較高所致 (意味著該地區的資安準備度較其他地區高)。
2021 上半年 CRI
讓我們進一步仔細看看這份研究數據,並點出各地區最令人擔心的問題。
- 隨著全球 Covid-19 疫情持續延燒以及各種勒索病毒攻擊與資料外洩事件層出不窮,許多企業似乎比以往更關心自己的資安準備度。以下是企業基礎架構面臨的五大資安風險:
- 組織架構無法配合與複雜性
- 桌上型或筆記型電腦
- 雲端運算基礎架構與供應商
- DNS 伺服器環境
- IoT 裝置與應用程式
企業仍持續為基礎架構複雜性所苦,此外,雲端和 IoT 也更加普及。今年,就桌上型或筆記型電腦遭駭客攻擊的數量來看,前述第二項風險 (桌上型或筆記型電腦) 的出現也就不令人意外。另一項今年新增的風險還有 DNS 環境,顯示針對此部分的網路攻擊令人堪憂。
- 在全部 31 個有關資安準備度的問題當中,全球受訪者對以下問題回答肯定的比例是最低的:「我們公司的 IT 資安部門有能力防範大多數的網路攻擊」,這是導致 CRI 指標呈現風險偏高最關鍵的資安準備度問題。
- 在問到有關過去 12 個月所遭受的攻擊以及未來 12 個可能遭受的攻擊,2021 下半年的展望似乎不太樂觀。全球有 81% 的受訪者表示過去 12 個月內曾遭遇 1 次 (含) 以上的攻擊,有 24% 曾遭遇 7 次 (含) 以上的攻擊。另有 86% 表示他們在未來 12 個月「也許可能」至「非常可能」遭到攻擊。這又再次顯示企業知道他們的準備度可能無法應付新的攻擊。
CRI 的設計是為了協助企業了解自己資安風險最高的地方,並且找出他們的資安準備度有哪些可改善之處。雖然駭客將來會怎麼做不是我們能夠改變的,但我們可以利用網路資安威脅指標來幫助我們了解駭客是否越來越積極。從 2020 年至 2021 上半年,前述第 3 點的三項數據都呈現上升的趨勢,這顯示駭客確實越來越積極。
例如,我們的 CRI 調查在北美已經做了四年,其每一年的網路資安風險指標都大致接近:5.22 (2018 年)、5.5 (2019 年)、5.22 (2020 年)、5.35 (2021 上半年)。因此,影響其 CRI 最大的因素,同時也是能讓其 CRI 由負轉正 (讓風險降低) 的因素,就是網路資安準備度。只可惜該地區的這項數值在過去三年不斷下滑:5.34 (2019 年)、4.14 (2020 年)、4.07 (2021 上半年)。註:CPI 越低,代表風險越高。
根據以上結果,下面是幾個最迫切需要改善的領域:
- 確保 IT 資安領導人 (CISO) 獲得充分的授權與資源以改善資安狀況。
- 提升企業掌握營運關鍵資料資產與應用程式所在實際位置的能力。
- 改善組織架構無法配合與資安基礎架構複雜性的問題。
- 訓練並教育員工認識網路資安威脅,確保員工將網路資安視為工作上的必要一環。
- 導入雲端運算基礎架構並與雲端廠商密切配合以確保其安全。而負責建置這些新技術的員工也應接受良好訓練,以便能安全地部署這些技術。
- 提升偵測及回應最新攻擊的能力,部署一套更環環相扣的威脅防禦基礎架構,減少資安解決方案的數量,並提供完整的攻擊週期可視性。
- 設法改善與其他機構及政府機關的威脅情報分享與合作。
CRI 是一項持續性的指標,我們每年都會定期更新以適時反映全球對網路攻擊的準備度與抵抗能力。我很期待看到未來的調查結果將如何變化。
在那之前,希望這份 2021 上半年 CRI 調查結果能對您有所幫助。請參閱以下網頁來獲得更多資訊和資源,或是評估一下您企業的 CRI 並與全球做對照: www.trendmicro.com/cyberrisk。