据彭博社报道,IT咨询公司埃森哲对来自全球15个国家、12大行业的2000多名大企业网络安全官员进行调查发现,针对企业的网络袭击1/3都取得了成功,但是3/4的高管对自己公司的安全策略依然信心满满。
埃森哲在名为《建立信心:面对网络安全难题(Building Confidence: Facing the Cybersecurity Conundrum)》的报告中称,从绝对数量上看,企业防御网络袭击的失败率“高得惊人”。
报告的作者称:“平均算来,这些大公司每年遭遇的重点攻击和有针对性的网络攻击超过100多次,许多受访者表示,其中1/3攻击都取得了成功。换句话说,每个月这些公司平均都会遭到2到3次有效攻击。”
近来,美国发生多起引人关注的网络袭击事件,包括索尼、Target、美国人事管理办公室、民主党官员电子邮件账号泄漏以及Dyn服务器遭到拒绝服务式攻击等。针对这些事件,埃森哲展开了调查。
埃森哲首席战略官奥马尔·阿波什(Omar Abbosh)2016年初曾称,每年企业在防护网络袭击方面的投入约为840亿美元,而这些袭击引发的外泄数据造成的损失超过2万亿美元。如果当前趋势继续下去,到2030年,网络袭击造成的损失将增至90万亿美元。
即使半数受访者表示,内部攻击造成的损失最惨重。但2/3的人称,他们对自家公司监督内部威胁的能力缺乏信心,但大多数人依然最关注对外部袭击者的防御。
埃森哲驻北美执行董事凯文·理查德斯(Kevin Richards)说:“网络袭击是当今各个行业都要面对的巨大威胁,我们的调查显示,要想发现和阻止这些犯罪行为,需要采取更好的措施。我们需要完全不同的方法来确保安全,我们首先要保护在整个价值链中具备优先性的关键公司资产。”
大多数受访者表示,需要数月时间才能发现网络攻击行为。17%的人称,1年后甚至更长时间才会发现遭到攻击。98%的网络袭击都是安全团队以外的雇员发现的。
埃森哲报告中称:“为了在这种日益危险的情况下生存下来,公司需要重新制定它们的网络安全方案。但最终,许多公司依然无法确定它们是否有能力处理对网络安全产生巨大影响的内部威胁,即使他们继续优先考虑投资回报最低的安全项目。”
报告中得出结论认为:就像遵守会计准则也无法确保可预防金融欺诈那样,仅有保护网络安全的决心也不足以确保公司免遭网络袭击。(小小)