賽門鐵克：全球75%企業曾遭網路攻擊 平均每年損失200萬美元

安全、儲存與系統管理解決方案廠商 Symantec (賽門鐵克) (SYMC-US) 公佈全球「 2010 年企業安全現況研究」報告結果究發，現有 42% 的企業組織將安全列為其應解決的首要問題。此結果並不令人感到意外，因為有 75% 的企業在過去 12 個月內曾遭受過網路攻擊，並且導致全球企業平均每年損失 200 萬美元。

另外，受訪企業也指出由於人員編制不足、新的 IT 計畫使安全問題更顯重要，以及 IT 法令遵循問題等各種原因，使得企業安全面臨更嚴苛的挑戰。

資安對於全球企業而言是一項極為重要的議題。報告顯示， 42% 的企業將網路安全視為其首要之務，其重要性勝過天然災害、恐怖主義和傳統犯罪三者的加總。在此觀點之下，企業在 IT 方面的活動也更聚焦於企業安全之領域。

一般而言，企業 IT 部門平均指派 120 名員工處理資訊安全及 IT 法令遵循相關工作。企業也將「對企業 IT 風險作更好的管理」列為 2010 年的首要目標之一，並有 84% 的受訪企業將其列為絕對/相當重要的目標。幾乎所有受訪企業 (94%) 預計將在 2010 年於資安工作上作出改變，並有將近一半 (48%) 的企業預期將會進行重大改變。

這個結果並不令人意外，因此企業正遭受到頻繁的攻擊。報告指出，於過去 12 個月中，有 75% 的受訪企業曾遭受過網路攻擊，而有 36% 的受訪企業認為這些攻擊相當/高度有效。更令人憂心的是，有 29% 的受訪企業表示遭受攻擊的次數在過去 12 個月以來已出現增加的趨勢。

據統計，所有受訪企業 (100%) 在 2009 年都曾因網路攻擊而蒙受損失，其中最主要的三項損失分別為智慧財產權遭竊、顧客信用卡資訊或其它金融資訊遭竊，以及顧客個人識別資料遭竊。這些損失在 92% 的情況下都會增加財務上的成本。其中支出最多的前三項成本分別為生產力、營收和顧客信任感的降低。受訪企業表示每年平均支出 200 萬美元的費用以對抗網路攻擊的威脅。

導致維護企業安全變得更為困難的原因，包括以下幾個因素。首先，負責企業資安相關工作的人員不足，受影響最深的領域為網路安全 (44%) 、端點安全 (44%) 和訊息安全 (39%) 。

其次，企業所實施的新計劃或行動，也讓企業安全防護變得更為不易。從安全的角度來看， IT 人員認為對安全造成最大問題的相關計劃包括基礎架構即服務 (infrastructure-as-a-service) 、平台即服務 (platform-as-a service) 、伺服器虛擬化、端點虛擬化(endpoint virtualization) 和軟體即服務 (software-as-a-service) 。

最後， IT 法令遵循也是一項艱鉅的任務。一般企業平均會考察 19 項不同的 IT 標準或架構，而其平均實施的數目則為 8 種。最常見的標準包括 ISO 、 HIPAA 、沙賓法案 (Sarbanes-Oxley) 、 CIS 、 PCI 和 ITIL 。

[NT:PAGE=$]

「資訊保護現在面臨到比以往更加艱鉅的挑戰。」賽門鐵克企業安全部門資深副總裁 Francis de Souza 指出，企業可以透過建立一個能更有效保護其基礎建設和資訊、執行 IT 政策和管理系統的資安藍圖，來提升它們在當前資訊導向環境中之競爭優勢。

賽門鐵克建議，企業組織需要透過保護其端點、訊息和網路環境來保障其基礎架構。此外，保護重要內部伺服器和執行備份和復原資料的能力也都是企業的當務之急。企業組織需要擁有資料可見度和安全情資以便對威脅作出迅速的回應。

IT 管理人員需要採取以資訊為中心導向的方式保護資訊及互動性，才能對資訊提供主動的保護。企業必須採取內容偵測導向 (content-aware) 的方式來保護資訊，才能夠知悉敏感資料的儲存位置、誰擁有存取這些資料的權限，以及這些資料是以何種方式進出組織。

企業組織需要建立並執行其 IT 政策，並自動化法令遵循流程。透過排定風險的優先順序，以及定義包含所有地點的資安政策，客戶可以透過內建的自動化和工作流程執行政策辨識威脅，並能在資安事件發生時進行補救，甚至防範於未然。

企業須透過實施安全作業環境、派送和執行修正程式層級、自動化流程以提升效率，以及監控與報告系統狀態等方式來做好系統管理。