网络复原力状况报告（亚洲版本）

网络复原力现状 达信携手微软就亚洲公司的网络风险应对准备情况提出了见解，并对2022年及以后的可行解决方案做了分析。 AbusinessofMarshMcLennan 介绍 在亚洲，尽管数字化转型步伐加快、网络攻击数量增加、网络威胁模 式发生改变，但近70%的公司对自己的网络复原力充满信心。然而， 近一半（48%）的公司也承认，他们在网络卫生实践（对管理网络风险至关重要）方面，仍然存在改进的空间。这样看来，他们的信心是不是发生了错位呢？ 达信携手微软，于2022年对全球660多名网络风险决策者（包括首席执行官、首席信息安全官和风险经理）进行了在线调查。达信-微软亚洲网络复原力现状报告基于该调 查结果，提供了相关见解和专家解决方案，以帮助亚洲各种类型和各个行业的公司优化网络复原力策略与方法。 现实状况：信心vs.网络卫生 我们的调查有一个重要的发现，即69%的亚洲受访者表示他们对所在公司的网络风险管理计划充满信心。 01|受访者对所在公司的网络风险管理计划是否有信心？ 全球 亚洲 18%|31% 无信心 68%|58% 有信心 14%|11% 非常有信心 02|受访者对所在公司的网络卫生举措有何看法？ 全球 亚洲 37%|48% 需要改善 32%|26% 满意 21%|9% 非常好 3%|9% 优秀 6%|9% 不知道/不想说 同时，48%的亚洲受访 者指出其所在的公司需要进一步改善网络卫生状况。 如果亚洲公司未能采取正确措 施来改善和加强网络卫生，将损害其整体网络风险管理策略与方法。 我们的调查发现，与全球相比，亚洲公司在网络风险优先排序方面拥有不同的经验和认知。 了解网络风险：经验vs.认知差异 03|企业经历的网络攻击 64% 18% 28% 14% 21% 24% 20% 21% 20% 34% 43% 71% 58% 50% 68% 的受访者表示，他们 04|企业最担忧的网络风险 全球亚洲 隐私泄露（个人数据丢失或被盗） 拒绝服务攻击网络钓鱼和社会工程攻击 调查着重指出，亚洲公司遭遇了更多的隐私泄露和拒绝服务（DoS）攻击。 与全球排名首位的勒索软件攻击相比，亚洲公司将隐私泄露或数据丢失视为他们面临的首要网络威胁。鉴于此，数据丢失是一个重要问题 ，企业需要将其纳入网络风险管理战略中并加 以妥善解决。 勒索软件攻击 全球亚洲 非个人隐私信息丢失 勒索软件攻击 隐私泄露 所在的公司已经受到网络攻击的影响（从全球的角度看，这一比例为59%）。 值得注意的是，选择在网络 攻击或事件发生以后才评 估新技术所致网络风险的亚 洲受访企业比例是全球平均 水平的两倍。 35% 亚洲 vs 17% 全球 了解网络风险缺口 我们发现，亚洲公司在采用和实施新技术时，往往会采取更加被动的方法来评估技术所致的网络风险。例如，在最初的探索和测试阶段，只有50%的亚洲受访者表示其所在的公司会评估网络风险，而全球同行的这一比例为63%。 我们还发现，亚洲公司更倾向于在“合同敲定/采购阶段”或“网络攻击或事件发生时”评估网络风险。另外，只有30%的亚洲受访企业选择在“确定新技术采购/合同”时评估网络风险。这种态度会影响企业的可保性，并增加保险成本。 05|当采用和实施新技术时，贵公司通常会在下列哪一阶段开展网络风险评估？ 6% 4% 17% 35% 26% 20% 39% 35% 24% 30% 63% 50% 全球亚洲 本公司在采用或实施新技术的任何阶段都不评估网络风险 网络攻击/事件发生时 实施后/使用中采用/实施阶段确定采购/合同时探索/测试阶段 06|贵公司在过去12个月采取的网络安全风险管理行动。 了解网络风险缺口 与全球平均水平相比，亚洲公司更加重视： 亚洲 全球 定义/重新定义网络安全治理、角色和职责。 评估和检查供应商和供应链的网络风险。 以及过去12个月网络攻击发生后的事件审查、复原力研究和营业中断估值工作。 然而，在定期维护方面，亚洲公司的表现不如全球同行，只有74%的亚洲公司在过去12个月内改善了计算机、设备和系统的安全性，而全球比例为91%。 提高计算机、设备和系统的安全性 74% 91% 提高数据保护能力 69% 79% 进行渗透测试（模拟攻击） 60% 64% 将网络安全集成到公司的业务连续性计划中 58% 63% 定义/重新定义网络安全治理、角色和职责 68% 61% 对本公司供应商/供应链进行风险评估 59% 43% 进行营业中断估值 54% 42% 亚洲公司在提高数据保护能力方面的表现更是差强人意，在过去一年中，超过30%的公司未能提高数据保护能力，这与他们认为隐私泄露和数据丢失是重大网络风险问题的看法相矛盾。 在开发过程中采用设计安全和/或DevSecOps 47% 40% 56% 36% 62% 35% （开发、安全和运营）概念全面核查本公司供应商/供应链的技术和运营措施 在网络攻击发生后开展事件审查和复原力研究 加强安全的十二项关键控制措施 用于远程访问和管理/特权的 多因素身份验证 电子邮件过滤和网络安全 备份安全、加密和测试 特权访问管理（PAM） 端点检测响应（EDR） 补丁管理和漏洞管理 网络事件响应计划和测试 网络安全意识培训和网络钓鱼 测试 强化技术，包括远程桌面协 议（RDP）缓释 日志和监控/网络保护 更换或保护报废系统 供应商/数字化供应链风险管 理 缺乏网络风险控制措施：影响 我们的调查结果表明，亚洲公司并没有像他们想象的那样做好网络风险应对准备，数据显示，他们缺乏网络安全风险控制措施。缺乏网络安全风险控制措施致使漏洞凸显，被网络攻 击直接利用，进而引发不必要的损失或直接/间接影响公司的网络事件（例如，影响公司声誉的数据泄露）。 此外，由于网络事件造成的损失不断增加，作为承保条件，保险公司要求投保企业必须执行以下网络安全风险控制措施。亚洲公司必须做好准备，向保险公司展示如何妥善控制风险，以便在持续变硬的网络风险保险市场中获得满意的承保范围、限额和保费条件。 缺乏网络风险控制措施：解决方案 07|亚洲公司最缺乏的四种网络安全风险控制措施 风险控制措施亚洲|全球描述解决方案 22% 34% 实施端点监控解决方案，主动搜索攻击指标（IOAs），并将网络威胁情报与实时预警和响应集成在一起，涵盖“零日”漏洞。 端点是指公司的远程设备，如笔记本电脑或智能手机。这是常见的网络攻击切入点，68%的公司经历过一次或多次端点攻击，其数据和/或IT设施遭到破坏。1 (EDR)端点检测 和响应（EDR） 17% 30% 达信网络安全专家可以帮助企业建立年度网络安全意识培训计划，并与保险公司无缝沟通，帮助企业获得承保。 95%的网络安全问题都是由人为错误导致，因此制定和实施详细的计划，对员工和IT用户进行网络风险和威胁方面的教育至关重要。网络钓鱼测试有助于评估员工对可疑电子邮件的反应及确定需要进一步改进的行为。 网络安全意识培 训/网络钓鱼测试 10% 14% 企业应与可信赖的风险顾问一起审查其关键系统和资产。达信不仅可以帮助客户制定灾难恢复、业务连续性和事件响应计划，还可以测试这些计划，以准确记录使用备份恢复系统的过程。 如果企业缺乏定期测试的安全备份，一旦遭遇停机或勒索软件攻击，业务中断时间可能大大延长。定期测试可以及早检测和纠正错误或故障，从而确保数据的完整性和可用性。 备份安全、加密和测试 4% 12% 基础版电子邮件安全解决方案还应防止在默认情况下运行启用宏的文件，并能够在用户送达之前利用沙箱环境评估电子邮件附件和链接，以确定该邮件是否属于恶意。 由于企业每天都可能收到包含恶意附件和恶意软件链接的垃圾邮件，因此拥有电子邮件自动检测和过滤软件可以防止员工访问这些电子邮件并使企业免受伤害。 电子邮件过滤和网络安全 为了帮助亚洲公司识别并弥补其在网络风险控制方面的缺口，达信创建了一款免费的在线网络自评（CSA）工具，该工具可对贵公司的网络安全状况进行详细的同比评估。您的网络自评报告将帮助您识别缺口，确定风险控制优先措施，并缓释网络风险，进而从战略上提高贵公司的网络复原力。 12020StateofEndpointSecurityFinal(morphisec.com). 不可或缺的环节：网络风险量化 08|“本公司没有衡量网络风险，因为…” 80% 对于一家企业而言，准确量化网络风险损失关乎其风险转移战略。缺乏网络风险相关的财务量化数据，会导致以下后果： 然而，网络风险量化需要专业人员完成，同时还要具备进行损失建模的数据能力。因此，亚洲大多数公司都没有进行网络风险量化。 •保费增加，可保性变差，承保条件收紧，限额降低。 •无法向公司最高管理层有效传达网络风险状况，导致缺乏网络风险缓释资源和行动。 •忽视发生频率高、可能导致重大损失的风险盲点或对其投保不足，一旦发生风险事件，公司将遭受重大未投保损失。 •对某一特定网络风险领域过度投保，影响公司的盈利状况。 53% 53% 33% 27% 25% 亚洲全球 然而，只有12%的亚洲公司量化网络风险的财务影响，不到全球平均水平 （26%）的一半。 “…未达成内部共识” “…缺乏数据” “…缺乏专业人士” 与达信携手，全球各种规模的企业，包括中小企业，都可以准确量化网络风险的财务影响。意识到企业面临的困难，达信提供免费的在线评估（如CSA）、同比评估工具以及损失情景分析服务，为企业带来丰富的风险专业知识和深厚的专有数据能力，帮助企业准确评估和量化网络风险可能造成的损失。例如，企业可以通过使用风险价值模型，估算特定时间范围内的潜在网络攻击损失，从而对风险敞口进行财务量化，这十分重要，有助于企业就适当的风险转移和缓释战略达成共识。 未来之路： 利用企业层面的风险管理策略与方法，缓释网络风险 为了在不断演变的网络风险环境中实现持续增长并提高恢复能力，亚洲公司需要制定清晰的路线图和战略，其中应将实施高效的网络风险管理放在优先位置。 A.高级分析与基准测试 B.金融风险量化C.网络安全评估 由于网络风险的复杂性以及企业可保性对网络风险量化和解决方案 的依赖，企业无论规模大小、无论所处哪个行业，都应与值得信赖的风险顾问和保险经纪人合作，获得全面的网络风险咨询建议和解决方案。 达信拥有庞大的地区和全球服务网络、丰富的网络风险和安全专知以及专有的数据平台和分析能力，能够帮助客户评估风险并量身定制解决方案，进一步提高客户的网络风险应对准备程度。 关于微软 微软(Nasdaq“MSFT”@microsoft)实现了智能云和智能优势时代的数字化转 型。它的使命是让地球上的每一个人和每一个组织都能取得更多成就。 关于达信 达信（Marsh）是全球领先的保险经纪和风险咨询公司，在130多个国家有超过 45000名员工，致力于向全球商业企业和个人客户提供数据驱动型风险解决方案和咨询建议服务。达信是MarshMcLennan（纽交所代码：MMC）的旗下公司，后者是一家全球性专业服务公司，向客户提供风险、战略和人力资源服务，达信于1981年进入中国，目前有450多名员工在中国各地开展业务。作为首家在中国取得保险经纪人执照的外商独资企业，达信中国为本地和跨国公司提供全方位的保险经纪、风险管理和理赔服务。 现在就行动起来，联系达信代表 或申请参加达信网络自评。 AbusinessofMarshMcLennan