觀點

國外資安社群報導 2006 CSI電腦犯罪與安全調查

2009 / 09 / 03
王婉伶
國外資安社群報導 2006 CSI電腦犯罪與安全調查
CSI (Computer Security Institute)為一居全球領導地位的會員組織機構,提供資訊教育訓練及服務,同時也是電腦及網路安全的專家。1974年起,CSI便積極提供教育訓練及提倡保護資訊資產的重要性。

 
 CSI每年會舉辦大型研討會及展覽;6月的CSI NetSec及11月舉辦年度的電腦安全展覽及研討會。CSI NetSec是企業界最早的網路安全研討會,除了聚焦在技術上外還結合了管理的議題,帶給與會者最前端的策略及解決方案。

  除了大型研討會及展覽的活動外,CSI也提供如密、入侵管理、網際網路、防火牆、資安認知、Windows等一系列的教育訓練課程。除此之外,CSI每年會出版CSI/FBI電腦犯罪及安全的調查報告,及電子報Frontline、Topline等。

  2006年CSI/FBI調查報告每年CSI都會進行一項大規模的年度調查,即CSI/FBI 電腦犯罪及安全調查(CSI/FBI Computer Crimeand Security Survey)。此調查在今年已是第11年,CSI將會長期且持續的在資訊安全領域進行下去。今年調查回覆的樣本數為616位在美國電腦安全從業者,包含企業、政府機關、金融業、醫療產業及大學院校等。

  2004年的調查報告顯示,委外安全及利用投保的方式作為管理網路安全風險的對策,有1%的受訪者表示,該企業的資安工作有80%以上是直接委外,而61%的企業則完全不採委外的方式,相較於2005年,下降了2個百分點。表示IT經理人開始分辨出資安工作與一般IT業務間的差異。在委外資安工作(業務)的企業裡面,以營收越高者委外的比例越高,超過美金10億的企業佔了15%左右。

  值得探討的是,在616個受訪企業裡,有86%的企業表示,不考慮雇用駭客團體委以資安的相關工作。且調查中可發現,受訪者有29%願意為企業的資訊安全投保,比2005年時多出4%。在資安意外事件統計調查項目,過去一年來未授權存取造成的資安事件比例為52%,相較於去年的56%有下降的趨勢。而在各種攻擊事件發生的比例上,有48%的受訪企業攻擊事件發生次數低於5次。

  資安意外事件調查項目中,在受訪企業中,最常遭遇的攻擊事件類別以病毒65%最高;其次是行動裝置失竊佔47%,但值得注意的是,金融詐騙、系統入侵、商業間諜等事件的比例與去年相比有小幅增加的趨勢。

  網路犯罪已經導致美國本土企業實質的財物損失,超過75%來自於病毒、木馬攻擊和未經授權的系統存取。約30%的受訪者在遭逢網路犯罪事件時選擇保持沈默,未向主管機關報備。CSI主任Chris Keating表示:「在2006年,這種狀況慢慢地有所改善,以往僅約20%的企業會通報事件,而今年已經增加到25%。」

  平均每家企業因網路犯罪而損失的金額為167,713美金,與去年相比已經下降約18%。這是一個很明顯的改變契機,不過也說明了企業在安全對策及教育上應該投入更多的努力。由此次的調查報告中也可以看出,大部份受企業青睞的安全措施還是以防火牆(98%)及防毒軟體(97%)居多,今年較有趣的地方是,新增防間諜軟體的選項,且有79%的受訪者已採用,足見間諜軟體的危害嚴重程度已受到重視。談及如何評估資安防禦措施的成效?報告中顯示,受訪的企業有82%具備有內部稽核的安全機制,進而從中發現弱點及潛在攻擊。

2006 & 2005年趨勢變化

  2006年調查報告中顯示,與2005年比較,願意在IT年度經費中提高資安預算的企業已有增加的趨勢,尤其提撥10%以上資安預算的企業成長有5個百分點之多,顯見有更多企業開始重視IT安全管理。而且不同規模企業委外的比例也有增加的趨勢,可知企業對於IT安全與一般IT業務的區別已有更明顯的認知。

  在企業發生攻擊事件後所蒙受的損失金額, 從2 0 0 5 年的130,104,542美金,下降到2006年的52,494,290美金,明顯地減少了50%以上的損失,顯見企業的安全認知及面對攻擊事件的防禦上有長足的進步。另外從報告中可看出,2005年對於資訊安全認知教育訓練的投資以高科技產業及政府最高,然在2006年狀況有所改觀,以顧問及律師事務所為最高,而在資安認知訓練中,最重要的議題以安全政策、網路安全及安全管理為大宗。值得注意的是,網路安全在資安認知訓練的重要度由去年的第4名躍昇為第2名。

  且調查顯示,80%的企業已經具備內稽內控的安全機制,可以從中發現弱點與潛在的攻擊,且不考慮用曾經是榜上有名的駭客作為內部的資安工作者。雖然此調查結果顯示出企業因網路犯罪而遭受的損失有下降的趨勢,但對於此結果資訊安全從業人員不應該感到太自滿,犯罪技術不斷地在進步,如果稍有鬆懈很快地企業就會成為俎上肉。

  此調查乃由F B I舊金山電腦犯罪偵查小組協助CSI針對近600家企業,其中不少是超過1,500名員工以上的中大型企業。而這些企業裡面卻只有一半願意和檢調單位共同分享資安情報,尤其若該資安事件會影響公司財務結構時,大部份企業仍有所顧忌。在接下來的二年裡受訪企業認為最關鍵的工作,主要以資料保護(資料分類、識別、加密)以及應用軟體安全(網頁安全、VoIP),其次為政策與法規依循、身份竊盜與隱私權議題。