安永此次全球信息安全調(diào)查的受邀參與企業(yè)數(shù)量為1755家。安永通過(guò)深入分析其調(diào)查結(jié)果和數(shù)據(jù)，并結(jié)合安永與全球客戶在改進(jìn)網(wǎng)絡(luò)安全解決方案中的廣泛合作經(jīng)驗(yàn)，匯總及發(fā)布該報(bào)告。該報(bào)告是安永持續(xù)第18年發(fā)布的全球信息安全調(diào)查報(bào)告，旨在保障企業(yè)在開(kāi)拓創(chuàng)新、拓展業(yè)務(wù)的同時(shí)，維護(hù)其網(wǎng)絡(luò)安全，并向其提供建議和幫助。

調(diào)查結(jié)果顯示，犯罪集團(tuán)(59%)、內(nèi)部員工(56%)和黑客組織(54%)是排名前三位的最有可能的網(wǎng)絡(luò)攻擊來(lái)源，同時(shí)，國(guó)家背景攻擊者(35%)列于該榜單的第六位。然而，與安永去年的調(diào)查結(jié)果相比，受訪者對(duì)犯罪集團(tuán)、黑客組織和國(guó)家背景攻擊者的評(píng)分有所提高，2014年各項(xiàng)的評(píng)分分別是犯罪集團(tuán)(53%)、內(nèi)部員工(46%)和黑客組織(27%)。

安永(中國(guó))企業(yè)咨詢有限公司(以下簡(jiǎn)稱安永)大中華區(qū)信息安全咨詢服務(wù)合伙人阮祺康先生表示，“企業(yè)應(yīng)繼續(xù)以超前防范網(wǎng)絡(luò)攻擊者為目標(biāo)。那么如何才能持續(xù)保持‘主動(dòng)防御者’的狀態(tài)呢?在本報(bào)告中，我們對(duì)這一狀態(tài)以及安永可以提供的幫助進(jìn)行了探討，包括企業(yè)各個(gè)部門應(yīng)如何協(xié)作和分享經(jīng)驗(yàn)、共同收集證據(jù)識(shí)別出攻擊者已經(jīng)入侵的區(qū)域，甚至是攻擊者正在收集信息的領(lǐng)域，為主動(dòng)防御提供支持。”

挑戰(zhàn)之一：當(dāng)今數(shù)字世界的攻擊無(wú)處不在

根據(jù)調(diào)查結(jié)果顯示，20%的受訪者表示無(wú)法估計(jì)過(guò)去12個(gè)月中與網(wǎng)絡(luò)事件相關(guān)的全部財(cái)務(wù)損失、88%的受訪者不認(rèn)為他們的信息安全完全滿足企業(yè)需求。

報(bào)告分析稱，由于輔助決策系統(tǒng)日益智能化，以及數(shù)據(jù)大量集中，從而導(dǎo)致網(wǎng)絡(luò)脆弱性加劇。

面對(duì)個(gè)人信息、知識(shí)產(chǎn)權(quán)被竊，黑客攻擊等巨大威脅，報(bào)告建議稱，企業(yè)若想建立更加安全和可持續(xù)的網(wǎng)絡(luò)，就需要戴上網(wǎng)絡(luò)風(fēng)險(xiǎn)透視鏡對(duì)所做的一切活動(dòng)進(jìn)行審視，識(shí)別它們的風(fēng)險(xiǎn)和漏洞，設(shè)定風(fēng)險(xiǎn)偏好，做好應(yīng)對(duì)各類事件、及時(shí)采取果斷行動(dòng)的準(zhǔn)備。但在這一過(guò)程中如何避免增加額外的工作負(fù)擔(dān)就需要針對(duì)企業(yè)的具體情況進(jìn)行梳理并確定工作重點(diǎn)。

挑戰(zhàn)之二：企業(yè)安全防御能力仍不容樂(lè)觀

報(bào)告調(diào)查結(jié)果還顯示：54%的受訪者的信息安全職能目前不具備關(guān)注新興技術(shù)及其影響的角色或部門;36%的受訪者不具備威脅智能感知系統(tǒng)計(jì)劃;認(rèn)為信息安全職能完全符合企業(yè)需求的受訪者比例僅占12%;而不具備安全管理平臺(tái)的受訪者比例從2014年的42%增長(zhǎng)為47%;另外，不具備身份及訪問(wèn)管理系統(tǒng)的受訪者比例從2014年的12%增長(zhǎng)為18%。

由于網(wǎng)絡(luò)攻擊者戰(zhàn)術(shù)不斷改變，持續(xù)性加劇，能力增強(qiáng)，網(wǎng)絡(luò)威脅的性質(zhì)也發(fā)生了變化。面臨這些威脅，安永指出，許多其之前認(rèn)為是先進(jìn)的舉措現(xiàn)在已經(jīng)變得只屬基礎(chǔ)性。

建議：轉(zhuǎn)向主動(dòng)防御以積極應(yīng)對(duì)安全威脅

調(diào)查結(jié)果同時(shí)指出，24%的受訪者沒(méi)有脆弱性識(shí)別計(jì)劃;34%的受訪者擁有非正式脆弱性識(shí)別計(jì)劃并定期開(kāi)展自動(dòng)化測(cè)試;27%的受訪者稱其數(shù)據(jù)保護(hù)政策和程序是非正式的，或只具備單點(diǎn)的數(shù)據(jù)保護(hù)政策。

鑒于以上調(diào)查結(jié)果，安永在報(bào)告中建議指出，企業(yè)應(yīng)繼續(xù)以超前防范網(wǎng)絡(luò)攻擊者為目標(biāo)，建立更為先進(jìn)的安全管理平臺(tái)，并使用網(wǎng)絡(luò)威脅智能感知系統(tǒng)以有效地保持運(yùn)營(yíng)的一致性，幫助開(kāi)展主動(dòng)防御，尋找潛在攻擊者、分析和評(píng)估威脅，并在威脅破壞企業(yè)的關(guān)鍵資產(chǎn)之前將其解除。

安永華北區(qū)信息安全服務(wù)合伙人李睿表示，“主動(dòng)防御不會(huì)代替?zhèn)鹘y(tǒng)安全運(yùn)營(yíng)，而是對(duì)其加以組織和鞏固。網(wǎng)絡(luò)安全不止是一個(gè)技術(shù)性問(wèn)題，也不僅僅局限在IT領(lǐng)域。它既是每一位董事會(huì)成員應(yīng)該承擔(dān)的職責(zé)，還以各種方式，通常是隱秘、不易識(shí)別的方式影響著企業(yè)的各個(gè)層面以及最高管理層的每一位成員。安永能夠幫助您采取定制化的以風(fēng)險(xiǎn)為中心的網(wǎng)絡(luò)安全方法，從戰(zhàn)略到執(zhí)行，取得更佳、更持久的成果。從而更好地保護(hù)您的企業(yè)，并為您的品牌創(chuàng)造更多的信任”。