網(wǎng)絡(luò)安全很重要，因為它可以保護所有類別的數(shù)據(jù)免遭盜竊和損壞。這包括敏感數(shù)據(jù)、個人身份信息 (PII)、受保護的健康信息 (PHI)、個人信息、知識產(chǎn)權(quán)、數(shù)據(jù)以及政府和行業(yè)信息系統(tǒng)。如果沒有網(wǎng)絡(luò)安全計劃，您的組織將無法抵御數(shù)據(jù)泄露活動，這使其成為網(wǎng)絡(luò)犯罪分子不可抗拒的目標(biāo)。

在全球連接和使用云服務(wù)（如 Amazon Web Services）存儲敏感數(shù)據(jù)和個人信息的推動下，固有風(fēng)險和剩余風(fēng)險都在增加。普遍存在的云服務(wù)配置不佳以及日益復(fù)雜的網(wǎng)絡(luò)犯罪分子意味著您的組織遭受成功的網(wǎng)絡(luò)攻擊或數(shù)據(jù)泄露的風(fēng)險正在上升。企業(yè)領(lǐng)導(dǎo)者不能再僅僅依賴于開箱即用的網(wǎng)絡(luò)安全解決方案，如防病毒軟件和防火墻，網(wǎng)絡(luò)犯罪分子變得越來越聰明，他們的策略對傳統(tǒng)網(wǎng)絡(luò)防御的抵御能力也越來越強。

網(wǎng)絡(luò)威脅可能來自組織的任何級別。工作場所必須包括網(wǎng)絡(luò)安全意識培訓(xùn)，以教育員工了解常見的網(wǎng)絡(luò)威脅，如社會工程詐騙、網(wǎng)絡(luò)釣魚、勒索軟件攻擊（想想WannaCry）和其他旨在竊取知識產(chǎn)權(quán)或個人數(shù)據(jù)的惡意軟件。

數(shù)據(jù)泄露的激增意味著網(wǎng)絡(luò)安全不僅與醫(yī)療保健等受到嚴(yán)格監(jiān)管的行業(yè)相關(guān)。即使是小型企業(yè)也有在數(shù)據(jù)泄露后遭受無法挽回的聲譽損失的風(fēng)險。為了幫助您了解網(wǎng)絡(luò)安全的重要性，我們編寫了一篇文章，解釋了您可能不知道的網(wǎng)絡(luò)犯罪的不同要素。如果您還不擔(dān)心網(wǎng)絡(luò)安全風(fēng)險，那么您應(yīng)該擔(dān)心。

什么是網(wǎng)絡(luò)安全？

網(wǎng)絡(luò)安全是保護和恢復(fù)計算機系統(tǒng)、網(wǎng)絡(luò)、設(shè)備和程序免受任何類型的網(wǎng)絡(luò)攻擊的狀態(tài)或過程。網(wǎng)絡(luò)攻擊對您的敏感數(shù)據(jù)來說是一種日益復(fù)雜且不斷演變的危險，因為攻擊者采用由社會工程和人工智能 (AI) 提供支持的新方法來規(guī)避傳統(tǒng)的數(shù)據(jù)安全控制。

事實是，世界越來越依賴技術(shù)，隨著我們引入下一代新技術(shù)，這些技術(shù)將通過藍牙和 Wi-Fi 訪問我們的連接設(shè)備，這種依賴將繼續(xù)存在。為了在采用新技術(shù)的同時保護客戶數(shù)據(jù)，智能云安全解決方案應(yīng)與多??因素身份驗證等強密碼策略一起實施，以減少未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)安全的重要性

網(wǎng)絡(luò)安全的重要性正在上升。從根本上說，我們的社會比以往任何時候都更加依賴技術(shù)，而且沒有跡象表明這種趨勢會放緩。可能導(dǎo)致身份盜用的數(shù)據(jù)泄露現(xiàn)已公開發(fā)布在社交媒體賬戶上。社會安全號碼、信用卡信息和銀行賬戶詳細(xì)信息等敏感信息現(xiàn)在存儲在 Dropbox 或 Google Drive 等云存儲服務(wù)中。

事實上，無論您是個人、小型企業(yè)還是大型跨國公司，您每天都依賴計算機系統(tǒng)。再加上云服務(wù)的興起、糟糕的云服務(wù)安全性、智能手機和物聯(lián)網(wǎng) (IoT)，我們面臨著數(shù)十年前不存在的無數(shù)潛在安全漏洞。我們需要了解網(wǎng)絡(luò)安全和信息安全之間的區(qū)別，即使技能組合變得越來越相似。

世界各國政府正在對網(wǎng)絡(luò)犯罪給予更多關(guān)注。GDPR 就是一個很好的例子。它通過迫使在歐盟運營的所有組織：

• 溝通數(shù)據(jù)泄露
• 任命數(shù)據(jù)保護官
• 需要用戶同意才能處理信息
• 匿名數(shù)據(jù)以保護隱私

公開披露的趨勢不僅限于歐洲。雖然美國沒有監(jiān)督數(shù)據(jù)泄露披露的國家法律，但所有 50 個州都有數(shù)據(jù)泄露法律。共同點包括：

• 要求盡快通知受影響的人
• 盡快讓政府知道
• 支付某種罰款

加利福尼亞州是 2003 年第一個規(guī)范數(shù)據(jù)泄露披露的州，要求個人或企業(yè)“在沒有合理延遲的情況下”和“在發(fā)現(xiàn)后立即”通知受影響的人。受害者可以起訴最高 750 美元，公司最高可被罰款 7,500 美元。這促使美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 等標(biāo)準(zhǔn)委員會發(fā)布框架，以幫助組織了解其安全風(fēng)險、改進網(wǎng)絡(luò)安全措施并防止網(wǎng)絡(luò)攻擊。

為什么網(wǎng)絡(luò)犯罪越來越多？

信息盜竊是網(wǎng)絡(luò)犯罪中最昂貴和增長最快的部分。很大程度上是由于身份信息通過云服務(wù)越來越多地暴露在網(wǎng)絡(luò)上。但這不是唯一的目標(biāo)。管理電網(wǎng)和其他基礎(chǔ)設(shè)施的工業(yè)控制可能會被破壞或破壞。身份盜竊不是唯一目標(biāo)，網(wǎng)絡(luò)攻擊可能旨在破壞數(shù)據(jù)完整性（破壞或更改數(shù)據(jù)），從而在組織或政府中滋生不信任。

網(wǎng)絡(luò)犯罪分子變得越來越老練，改變了他們的目標(biāo)、他們?nèi)绾斡绊懡M織以及他們針對不同安全系統(tǒng)的攻擊方法。社會工程仍然是最簡單的網(wǎng)絡(luò)攻擊形式，勒索軟件、網(wǎng)絡(luò)釣魚和間諜軟件是最簡單的入侵形式。處理您的數(shù)據(jù)并且網(wǎng)絡(luò)安全實踐不佳的第三方和第四方供應(yīng)商是另一個常見的攻擊媒介，這使得供應(yīng)商風(fēng)險管理和第三方風(fēng)險管理變得更加重要。

根據(jù)埃森哲和 Ponemon Institute 的第九次網(wǎng)絡(luò)犯罪成本年度研究，組織的網(wǎng)絡(luò)犯罪平均成本比去年增加了 140 萬美元，達到 1300 萬美元，數(shù)據(jù)泄露的平均數(shù)量增加了 11%，達到 145 起。信息風(fēng)險管理從未像現(xiàn)在這樣重要。

數(shù)據(jù)泄露可能涉及財務(wù)信息，例如信用卡號或銀行賬戶詳細(xì)信息、受保護的健康信息 (PHI)、個人身份信息 (PII)、商業(yè)機密、知識產(chǎn)權(quán)和其他工業(yè)間諜活動的目標(biāo)。數(shù)據(jù)泄露的其他術(shù)語包括無意的信息泄露、數(shù)據(jù)泄露、云泄露、信息泄露或數(shù)據(jù)泄露。

推動網(wǎng)絡(luò)犯罪增長的其他因素包括：

• 互聯(lián)網(wǎng)的分布式特性
• 網(wǎng)絡(luò)犯罪分子攻擊其管轄范圍以外的目標(biāo)的能力使得維持治安極為困難
• 在暗網(wǎng)上提高盈利能力和商業(yè)便利性
• 移動設(shè)備和物聯(lián)網(wǎng)的普及。

網(wǎng)絡(luò)犯罪的影響是什么？

影響網(wǎng)絡(luò)犯罪成本的因素有很多。這些因素中的每一個都可以歸因于對最佳網(wǎng)絡(luò)安全實踐的關(guān)注不足。缺乏對網(wǎng)絡(luò)安全的關(guān)注可能會以多種方式損害您的業(yè)務(wù)，包括：

經(jīng)濟成本

盜竊知識產(chǎn)權(quán)、公司信息、交易中斷和修復(fù)受損系統(tǒng)的成本

聲譽成本

失去消費者信任、現(xiàn)有和未來客戶流失給競爭對手以及媒體報道不佳

監(jiān)管成本

GDPR和其他數(shù)據(jù)泄露法律意味著您的組織可能會因網(wǎng)絡(luò)犯罪而遭受監(jiān)管罰款或制裁。所有企業(yè)，無論規(guī)模大小，都必須確保所有員工都了解網(wǎng)絡(luò)安全威脅以及如何緩解這些威脅。這應(yīng)該包括定期培訓(xùn)和與之合作的框架，旨在降低數(shù)據(jù)泄露或數(shù)據(jù)泄露的風(fēng)險。

鑒于網(wǎng)絡(luò)犯罪的性質(zhì)以及檢測的難度，很難理解許多安全漏洞的直接和間接成本。這并不意味著即使是很小的數(shù)據(jù)泄露或其他安全事件對聲譽的損害也不大。如果有的話，隨著時間的推移，消費者期望采取越來越復(fù)雜的網(wǎng)絡(luò)安全措施。

如何保護您的組織免受網(wǎng)絡(luò)犯罪侵害

您可以采取一些簡單的步驟來提高安全性并降低網(wǎng)絡(luò)犯罪風(fēng)險：

教育員工

人為錯誤是2019 年 90% 的數(shù)據(jù)泄露的原因。然而，這一令人擔(dān)憂的統(tǒng)計數(shù)據(jù)也有一線希望。如果教員工如何識別和正確應(yīng)對網(wǎng)絡(luò)威脅，則可以避免大多數(shù)數(shù)據(jù)泄露事件。此類教育計劃還可以增加所有網(wǎng)絡(luò)安全解決方案投資的價值，因為它可以防止員工在不知不覺中繞過昂貴的安全控制來促進網(wǎng)絡(luò)犯罪。

保護您的敏感數(shù)據(jù)

投資于限制信息丟失的工具，監(jiān)控您的第三方風(fēng)險和第四方供應(yīng)商風(fēng)險，并持續(xù)掃描數(shù)據(jù)暴露和泄露的憑證。數(shù)據(jù)泄露如果無人看管，可能會幫助網(wǎng)絡(luò)犯罪分子獲得對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限并破壞敏感資源。實施能夠同時監(jiān)控整個第三方網(wǎng)絡(luò)的泄漏的數(shù)據(jù)泄漏發(fā)現(xiàn)解決方案非常重要。幾乎 60% 的數(shù)據(jù)泄露是通過受感染的第三方提供商發(fā)生的，因此通過關(guān)閉供應(yīng)商數(shù)據(jù)泄露，可以避免大多數(shù)數(shù)據(jù)泄露事件。

實施第三方風(fēng)險管理 (TPRM) 解決方案

使用技術(shù)降低成本，例如作為整體網(wǎng)絡(luò)安全風(fēng)險評估策略的一部分自動發(fā)送供應(yīng)商評估問卷。公司不應(yīng)該再問為什么網(wǎng)絡(luò)安全很重要，而是我如何確保我的組織的網(wǎng)絡(luò)安全實踐足以遵守 GDPR 和其他法規(guī)并保護我的業(yè)務(wù)免受復(fù)雜的網(wǎng)絡(luò)攻擊。您還可以采取一些實用策略來降低組織的網(wǎng)絡(luò)安全風(fēng)險。

受網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露影響的公司損失示例

近年來，網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的數(shù)量驚人，很容易列出受到影響的家喻戶曉的公司。這里只是幾個例子。如需完整列表，請參閱我們最大的數(shù)據(jù)泄露帖子。

Equifax

Equifax 網(wǎng)絡(luò)犯罪 Equifax 股價在違規(guī)后的第二天早盤下跌 13%，并因違規(guī)而對 Equifax 提起了許多訴訟。更不用說 Equifax 遭受的聲譽損失。2019 年 7 月 22 日，Equifax 同意與 FTC 達成和解，其中包括 3 億美元的受害者賠償基金、1.75 億美元的協(xié)議中的州和領(lǐng)地以及 1 億美元的罰款。

易趣

2014年 攻擊者使用一小組員工憑證來訪問這些用戶數(shù)據(jù)。被盜信息包括加密密碼和其他個人信息，包括姓名、電子郵件地址、實際地址、電話號碼和出生日期。在 eBay 進行了長達一個月的調(diào)查后，該違規(guī)行為于 2014 年 5 月披露。

成人朋友查找器

2016年 FriendFinder Network 包括 Adult Friend Finder、Penthouse.com、Cams.com、iCams.com 和 Stripshow.com 等網(wǎng)站。大多數(shù)密碼僅受到弱 SHA-1 哈希算法的保護，這意味著到 LeakedSource.com 于 11 月 14 日發(fā)布對整個數(shù)據(jù)集的分析時，其中 99% 的密碼已被破解。

雅虎

雅虎披露，2013 年 8 月，一群黑客的違規(guī)行為已經(jīng)破壞了 10 億個賬戶。在這種情況下，安全問題和答案也受到損害，增加了身份盜竊的風(fēng)險。雅虎于 2016 年 12 月 14 日首次報告了這一違規(guī)行為，并迫使所有受影響的用戶更改密碼并重新輸入任何未加密的安全問題和答案，以便在未來對其進行加密。然而，到 2017 年 10 月，雅虎將估計數(shù)更改為 30 億用戶帳戶。調(diào)查顯示，用戶的明文密碼、支付卡數(shù)據(jù)和銀行信息并未被盜。盡管如此，這仍然是歷史上此類最大的數(shù)據(jù)泄露事件之一。雖然這些只是一些備受矚目的數(shù)據(jù)泄露示例，但重要的是要記住還有更多從未登上首頁的案例。