思科(Cisco)日前發表《思科2017年度網路安全報告》(Cisco 2017 Annual Cybersecurity Report, ACR),指出2016年遭遇資料外洩的企業中,有超過三分之一表示因此面臨大量客戶、業務機會及收益的流失,總計損失超過20%;而其中有90%的企業在遭受網路攻擊後,透過區分IT與資安功能(38%)、員工資安意識培訓(38%)並採用降低風險的技術(37%),來改善威脅防禦技術及過程。

思科報告中的資安能力基準研究(Security Capabilities Benchmark Study,SCBS),針對近3,000名來自13個國家的資安長(Chief Security Officers,CSO)及資安營運主管進行調查。今年為思科年度網路安全報告推出的第10年,這份全球性報告為資安團隊揭示目前面臨的挑戰和機遇,讓資安團隊能抵禦不斷演變的網路犯罪和攻擊模式。

受訪的資安長將預算的限制、低落的系統兼容性,以及專業人才的缺乏,視為推行網路安全最大的阻礙。資安營運主管亦表示,65%的企業使用6種至50種不同的資安產品,導致資安部門環境複雜,也增加潛在的資安效率漏洞。

《思科2017年度網路安全報告》顯示,網路犯罪者利用潛在漏洞,再次以「經典」的方式和媒介進行網路攻擊,例如廣告軟體和垃圾郵件攻擊,其中垃圾郵件攻擊自2010年起已不曾出現。垃圾郵件佔所有電子郵件的近三分之二(65%),當中更有8%至10%為惡意郵件。全球垃圾郵件數量正不斷上升,且通常透過大型且具規模性的殭屍網路(Botnets)傳播。

有效評估資安實施方式的效率,是抵禦網路攻擊的關鍵。偵測時間(Time to detection,TTD)意指遭受威脅直至威脅被偵測所需的時間,而思科一直持續努力於縮短偵測時間。更快的偵測時間能有效限制攻擊者的操作空間,並將攻擊所帶來的破壞力降至最低。根據思科所收集到,來自於全球資安產品的資訊及遙測數據顯示,從2016年初至年底,思科已成功將偵測時間從平均14小時,降低至平均6小時。

《思科2017年度網路安全報告》顯示,網路攻擊對大型及中小企業造成潛在財務影響。超過50%的企業在發現自身資安漏洞後接受公開調查,並發現營運和財務系統所受到的影響最為嚴重,其次是品牌聲譽和客戶維繫。網路攻擊對企業的影響是不容小覷的:

  • 22%曾遭遇資料外洩的企業,因此損失原有客戶,其中更有40%的企業損失超過20%的客群;
  • 29%的企業因而減少收益,其中有38%損失超過20% 的收益;
  • 23%曾遭遇資料外洩的企業,因此失去商業機會,其中更有42%的企業損失超過20%的商業機會。

在2016年,駭客活動逐漸趨向「企業化」。隨著數位化發展,不僅帶動科技環境劇烈轉變,也為網路犯罪者創造機會。攻擊者持續利用時間驗證(time-tested)技術,同時也採用「中階管理」架構方式,反映企業目標。

  • 以新的攻擊方式模仿企業架構:某些惡意廣告程式透過經紀人或門戶(gates)作為中階管理人員,掩蓋其惡意活動。這讓攻擊者能提升攻擊速度、保持操作空間,並規避偵測;
  • 雲端機會和風險:由員工引進的第三方雲端應用程式,開拓新的商業機會並提高效率,但卻有27%具高風險或重大資安問題;
  • 數據證明,未經用戶許可而下載軟體的傳統廣告軟體是成功的攻擊工具,報告顯示,被調查的企業中, 有75%遭到傳統廣告軟體感染;
  • 大型開發工具套件(如Angler、Nuclear和Neutrino)的使用者在2016年減少,但小型用戶大量湧現。

《思科2017年度網路安全報告》指出,僅56%的資安警示完成調查,更僅有一半以下的合法警報獲得修復。儘管防禦者對自身的資安工具信心十足,但這些工具卻只能應付複雜IT架構及人力不足的問題,無法真正回應攻擊者的入侵,讓攻擊者享有時間及空間的優勢。思科建議採用以下步驟,達到防禦、偵測、減少威脅,並降低風險的目的:

  • 以資安為優先業務項目──企業高層必須對網路安全負責,公開宣告網路安全的重要性,並將其視為投資的首要目標;
  • 營運部門評估──企業須審視過去資安實施方式、漏洞修補,並將存取點控制至每個網路系統、應用、功能及數據;
  • 測試資安效能──企業需建立清楚的安全執行方法,藉此驗證並改善資安實施方式;
  • 採用整合式防禦──將整合及自動化列為評估的首要條件,進而提升可視性、簡化協調性、縮短偵測時間,並遏止網路入侵,讓資安團隊能專注調查並解決真正的資安威脅。

思科年度網路安全報告自2007年推出以來,網路安全經歷巨大的轉變。科技的日新月異,一方面提升網路攻擊的嚴重性,另一方面也加強資安領域的專業能力,讓網路安全成為重要的發展基礎。

2007年,思科年度網路安全報告指出,網站及企業應用是網路攻擊的目標,通常透過社群工程(social engineering)或用戶介紹(user-introduced)的方式入侵。而在今年,駭客已具備攻擊雲端應用的能力,且垃圾郵件的數量亦相繼提升。

10年前為惡意程式攻擊興起的階段,惡意程式攻擊遂成為犯罪組織的獲利途徑。隨著現今影子經濟發展,攻擊者將網路犯罪視為一門生意,並提供低門檻的攻擊產品及方案給潛在的用戶。因此,如今每個人都能成為網路攻擊者,並且能夠在任何地方發起攻擊,不需要了解網路安全技術,即可隨時買入現成的入侵套件進行攻擊。

《思科2007年度網路安全報告》針對4,773件來自思科智慧防護安全警報(Cisco IntelliShield Security Alerts)的資料,並對照美國國家弱點資料庫(National Vulnerability Database) 所檢視的漏洞警報。根據《思科2017年度網路安全報告》,廠商揭示的安全漏洞警報為6,380件,較10年前增加33%。思科相信此增幅是由於企業對資安投入更大的關注、攻擊層面的擴展,以及企業主動對抗攻擊。

2007年,思科建議防禦者要全面實施網路安全,整合工具、流程及政策,並教育利益關係人保護工作環境,以避免駭客入侵。企業向資安供應商尋求全面性的解決方案,但往往徒勞無功,因為廠商僅針對單點提供零散的資安方案。

直至2017年,企業資安長仍糾結於複雜的IT環境。思科致力解決此類資安問題,透過架構式方法部署網路安全,協助客戶在目前既有的投資下,獲得更多的資安效益,增加資安能力,並減低部署及管理安全上的複雜性。