当前所在位置:主页 > 探险小米 >2018 年资安报告:网路攻击一年让台湾损失 5% GDP!

2018 年资安报告:网路攻击一年让台湾损失 5% GDP!

2018 年资安报告:网路攻击一年让台湾损失 5% GDP!

5 月底刚上路的欧盟通用资料保护法规(GDPR)祭出史上最高罚金,违反 GDPR 情节重大者将罚 2000 万欧元(相当于 7.2 亿新台币),而即将上路的台湾资通安全管理法也订出未通报资安事件者最高可罚 500 万元台币。

随着隐私保护与人权意识高涨,越来越多的法规要求企业组织需更加重视手中的资料与系统安全。在迈向数位转型的此刻,面对产业界的高度竞争以及更多法规遵循压力,微软提出五大最佳实务建议以提升企业防御能力对抗现今网路威胁。

网路攻击损失超乎想像,金额高达将近台湾 GDP 5%

网路攻击事件层出不穷,对企业造成的冲击与代价也越来越高。产业顾问公司 Frost & Sullivan 于 2018 年 5 月的研究报告《了解亚太地区网路安全威胁样貌:在数位世界打造更安全的现代化企业》指出,企业遭受网路攻击的经济损失常被低估,台湾 2017 年总计因资安威胁造成 270 亿美金(约新台币 8100 亿元)的经济损失,将近台湾 GDP 的 5%,其中由于攻击手法的快速迭代,有 97% 的恶意攻击来源都是首见,没有被列在过去的黑名单中,显见网路安全需要更智慧的情资分析,化被动为主动防御。

其中直接损失最显而易见,包括营收与生产力的损失、罚金与诉讼费用以及修补工作费用,但这只佔总体损失冰山一角,还应包含客户转移与商誉影响等间接损失以及对整个生态系影响的延伸损失。

部署更多解决方案,并不代表更安全

87% 的台湾企业表示他们在数位转型上未有对资安的完整策略,而其中 77% 的受访者表示对网路攻击的恐惧已经阻碍其数位转型专案的推动,由此可知要完成更全面的数位转型工作,势必得对资安有审慎、且正确的理解和规划。然而,在对「资安」未有正确了解的状况下,部署过多的解决方案,反而对会对组织造成伤害。

调查也显示部署越多解决方案的组织未必更安全,他们与部署少于 10 种方案的组织几乎有相同的资安事件发生率,拥有较多解决方案者可能还得花更长的时间从网路攻击中复原。

不论是处在金融、製造、零售、医疗等何种产业,数位转型可说是时势所趋。许多人认为部署更多资安解决方案可以加强防护强度,但研究发现,部署不到 10 种解决方案的受访者,有 42% 能在遭受网攻后一小时内恢复,反而部署 26 至 50 种资安解决方案的受访者中,只有 38% 能在遭受网攻后的一小时内恢复常态。

微软:选择善用 AI 技术的资安防护工具能有效抵御攻击

「网路安全威胁充满挑战,但企业只要善用现代科技、策略与专业能力,就能找到更有效率的安全防护应对方式。」微软亚洲首席安全长 Michael Montoya 这幺说。

要在数位世界中保护现今企业抵御网路攻击,应思考组织整体资安态势,并列出完善的资安升级计画,微软提出五大最佳实务建议如下:

1. 将资安定位为数位转型必要条件:

当数位化在现今企业中扮演越来越重要的角色时,企业应重新定位资安策略,资安不只是保护企业免于攻击,而能为企业所提供的数位化流程与服务带来安全保障。数位转型也意味着企业应扬弃过时的资安实务,拥抱能解决现今风险威胁的新方法。

 2. 持续强化基础控制措施:

90% 的资安事件其实是可透过良好的资安习惯来避免,例如设定强固密码、採用多因素认证、更新设备的作业系统/软体/防毒软体在最新版本并使用正版等都可提高网路攻击的门槛。上述所谈不只是工具的採用,也包括需纳入对人员教育训练与资安政策的设定以强化基础环境的安全。

3. 资安人员学习善用整合型套装工具:

别使用太多工具可以降低资安维运的複杂度,让资安人员熟练既有工具。而採用整合型套装工具可大幅降低风险,也不会因为导入过多工具而使 IT 环境複杂化,尤其若套装组合中的工具彼此已整合完备时,更可互补达成综效。

4. 评估、检讨、持续遵循规範:

资讯安全是不断改进的过程。需定期进行资安评鉴与检讨以便能快速发现可能产生的安全缺口,并及时解决。同时董事会不仅要关注遵循产业规範,也要了解组织如何对应安全最佳实务。

5. 透过 AI 与自动化技术增强资安能力与能量:

 人工智慧目前的进展已经带来许多新机会与发展,不仅提升侦测率,对于各种资料讯号该如何被解读与建议行动方针的推理能力也大有进步,例如能快速处理巨量资料的云端环境即为一例,因此透过自动化与 AI 技术,资安人才便能专注在更高层次的工作中。

微软推出的套装服务 Microsoft 365 就是建立在五点坚持上,透过整合现有的 Office 365、Windows 10、EMS(Enterprise Mobility+ Security),提供企业由「基础」建立起的稳固资安防线。

以现有资安防护和微软提供的套装式资安服务来谈,若是选择个别的资安服务,不只会对系统造成额外负担,更像是穷补漏洞,难以针对现有的资安问题进行坚实的防护,企业也很难完全理解自己到底「缺乏什幺」,无法精準地找到相应的服务,费用负担对企业而言也相对较庞大,而由 Microsoft 365 建立的资安防护网,以更简便、平价的方式提供整合型的资安防护,让企业便捷、高效建立稳固的资安防备。

Microsoft 365,企业资安疫苗打起来

资料上云端真的没问题?全新 Microsoft 365 用人工智慧帮企业打「资安疫苗」

不同产业遭遇的资安问题,微软如何靠 Microsoft 365 通通搞定?


相关推荐