我們太常專注於日常細節,而忽視了大局。我曾撰寫一些有關遞迴式 DNS 與威脅情報、網域產生演算法(DGA)及 DNS 型資料竊取等文章,假設大多數讀者均已熟悉惡意軟件、勒索軟件和網絡釣魚對業務的影響,但真實情況未必如此。
因此,我們不妨退後一步,了解一下進階目標式威脅會對業務造成什麼影響?
基本上,評估網絡攻擊影響的方式五花八門,常見的方法包括檢視威脅源頭、偵測時機、救時間、為處理事件的成本,以及與攻擊有關的整體連帶結果。實質上,資料外洩點何在、是否有任何客戶資訊慘遭外洩、是否有任何個人識別資訊(personally identifiable information; PII) 遭到入侵,事件又是否損害到品牌商譽或市價?
Ponemon Institute 在這個領域的研究向來享譽盛名。其中一份值得閱讀的報告為「進階持續式威脅造成的經濟衝擊」(The Economic Impact of Advanced Persistent Threats)。在這份報告中,Ponemon 將進階持續式威脅(Advanced Persistent Threat;APT)定義為:「一種專為閃避企業現有技術和程序對策而設計的網絡攻擊類型」。作者強調:「惡意軟件是 APT典型的攻擊手法, 93% 的受訪者表示攻擊都源自惡意軟件。」
Ponemon 在其報告中評估了保護企業和補救任何 APT 攻擊的總成本,並著眼於下列四大類別:
- 技術支援成本
- 生產力損失
- 收入損失
- 品牌形象受損
透過問卷調查訪問 755 名美國 IT 和 IT 安全專家,Ponemon 發現為期一年以上,並與APT 相關的事件中,平均總成本大約等於 $1810 萬美金。有趣的是,與品牌形象和商譽受損相關的成本是其他相對類別的三倍。
我們可以從稍微不同的角度,看看網絡犯罪對業務有何影響:評估處理大多數因惡意軟件和網絡釣魚導致的資料外洩而所需的成本。一般而言,這些成本是根據下列項目計算得出來:
- 客戶與危機管理
- 事件應變、調查和保安審計
- 員工流失以及聘請新的 CISO/資安人員的招聘服務(最後一項並非編造… )
- 法律費用、和解金以及法規罰款
Ponemon Institute 再次針對這個議題提供獨到見解。「2016年資料外洩成本研究:全球分析」(2016 Cost of Data Breach Study: Global Analysis)不僅提供架構說明如何評估資料外洩成本,還根據 383 間參與公司提供具體的數據。報告顯示,全球資料外洩的平均總成本達 4 百萬美金。
無論你運用何種具體方法或研究,做出有關應對網絡攻擊的決策,關鍵都在於:APT、惡意軟件、勒索軟件、網絡釣魚和資料外洩將會對你的企業財務造成負面影響,而業界一致認為網絡犯罪帶來的損失不減反增,而且還會因為罰金、通知要求等相關費用,而進一步攀升。
大多數資安專業人士現在同意這其實不是「如果」,而是「何時」遇到攻擊的問題,故採用業界標準,來評估財務風險和多層式防禦以抵擋網絡犯罪再合理不過。
作者: Lorenz Jakober
Akamai 產品行銷總監