資訊安全軟體業者Avast在本月12日指出,WannaCry勒索軟體對全球展開同步大規模的攻擊行動,並且逐步攻擊國家數在一天內就增加到104個國家,攻擊次數擴大到12.6萬次,WCry的主要攻擊目標為俄國、烏克蘭與台灣。台灣在各大PTT版面或是社群往站陸續傳出Windows使用者受到勒索蠕蟲WannaCry攻擊的災情畫面,並尋求專家的協助。

2000年代初期,最大的網路安全威脅發生在網路層而且可以輕易的將其危害減至最小,因為IT擁有完全的網路能見度並且對於應用與資料的存取都握有如鐵腕般的控制權。今天,我們已經面對一個截然不同的狀況。各種變種的攻擊病毒與隱藏的勒索蠕蟲隨機四伏在電腦硬體與網路層中,發動大規模的攻擊。

雲端應用的大量湧現,加上強大的數位化行動和攜帶自有裝置(Bring-Your-Own-Devices;BYOD)趨勢,今天的網路安全攻擊跨越了多個層面。事實上,Ponemon的2016年調查報告(Application Security in the Changing Risk Landscape)顯示,半數受訪者(50%)表示應用層攻擊比較頻繁發生,甚至更多人(60%)表示其嚴重性高過網路層攻擊。

不讓人驚訝的是,網路威脅已擴充至新的平台和空間,並且採用更多樣化的攻擊戰術例如社交工程、勒索軟體和分散式拒絕服務攻擊(DDoS)等。根據Cisco公司2017年網路安全報告,超過半數資安專家表示最讓他們感到擔憂的網路攻擊是行動裝置(58%)、公共雲端資料(57%)和雲端基礎設施(57%)。

亞太備受矚目

然而,新技術的開發只是推動網路安全革新的部分原因。今天的網路犯罪者已變得更加惡意,他們的攻擊更趨頻繁、複雜而且防護成本更昂貴。位於倫敦的Grant Thornton顧問公司指出,亞太企業因為網路攻擊而蒙受的營收損失估計達813億美元,相較於歐洲的623億美元和美國的613億美元。

亞洲的情形特別嚴重,是駭客的主要目標。單是在中國,網路攻擊從2014年的241次激增到2015年的1,200次。近幾年一些最嚴重的攻擊也發生在亞洲。今年年初爆臺灣史上爆發的第一次券商集體遭DDoS攻擊勒索事件,也是要求勒索支付比特幣,之後更連續發動達2Gpbs的攻擊流量,Tb級的DDoS攻擊已經震撼全國,啟動政府層級的介入偵辦協防。

從這些毀滅性的資安事件,你或許會認為網路安全是所有企業的最高優先,不論是大型企業或一人公司。然而,這往往並非如此。儘管網路攻擊造成重大的營收損失,一份PwC研究報告發現近40%企業完全沒有投資網路安全計畫 。

不只是金錢的損失

回顧2007年,當時Sony Pictures Entertainment的資安執行總監Jason Spaltro曾說過「接受安全漏洞風險是一項正確的商業決策」,而且他「不會投資1,000萬美元去預防一個潛在的100萬美元損失。」這是該公司在2014年遭受一項重大網路安全攻擊之前的事,駭客在2014年的攻擊事件中竊取和洩漏發行前的影片、個人隱私資訊和敏感的文件。總損失有多少?答案是將近一億美元營收以及更多無形和隱藏的成本。這包括流失客戶,難以取得新客戶,投資者遠離等。

此種對網路安全漫不經心的傲慢態度或許已成過去,不過今天的網路犯罪者本質更加無情和惡意,非僅貪圖金錢利益甚至想摧毀企業數十年建立的聲譽。今天,網路安全性已不再是一個是否應納入整體成長策略的問題,而是該如何進行投資。

第一要務是要為你需要保護的對象區分優先性。例如,在一個以應用為中心的環境中,你應該查明網路內的所有應用程式,不論是否由IT部署或者員工私自安裝的應用,並且確保那些最脆弱的應用獲得必要的保護。

其次,你必須將安全評估納入應用開發框架之內,而不能事後才尋求補救。安全的應用不但可以保護你的資料,更重要的是可以強化客戶體驗以及他們對於貴公司品牌的信心。

同樣重要的是必須謹記一件事,那就是網路安全是每個人的責任而非只是IT工作。不同部門之間,從財務到資深管理階層等的持續對話,有助於發現關鍵的安全脆弱性、了解終端使用者行為、規劃有效且強力的網路安全策略、得到所需的支持以便於實施涵蓋整個企業的安全計畫。最後要強調的是,網路安全應成為組織每一環節不可忽視的部分,如此才能確保獲得客戶信任和保護本身的利潤。