网络安全入门手册

2024年11月 萨米拉·希哈布是AC创投的价值创造部主管。 苏比亚托是印尼普华永道（PwC Indonesia）的合伙人、首席数字与技术官。 Indra Allen是普华永道印度尼西亚的合伙人。 安杰洛·维贾亚是一名AC风险投资的增值专业人士 安德烈·提尔塔贾亚他是PwC印度尼西亚的风险保障总监 本尼·塞蒂亚迪是PwC印度尼西亚的风险保证高级经理 Roro Astuti是印度尼西亚PwC的高级管理合伙人 罗森琳·维迪亚加他是普华永道印度尼西亚的风险保证高级顾问。 Putri Nariswari是的，是PwC印度尼西亚的风险保证副理。 普华永道免责声明 本出版物仅作为一般性指导，针对感兴趣的事项，并不构成专业建议。在获得具体专业建议之前，您不应依据本出版物中的信息采取行动。对于本出版物中所含信息的准确性或完整性，不提供任何表示或保证（无论明示或默示）。在法律允许的范围内，PwC印度尼西亚及其成员、雇员和代理人不对您或任何人因依赖本出版物中的信息采取行动或拒绝采取行动而产生的任何后果承担责任或义务。 文件或从普华永道获得的信息，未经我们事先书面许可，不得全部或部分提供给任何其他个人/当事人。我们可根据自己的判断，决定是否许可、拒绝许可或设定条件（包括有关法律责任或无法律责任的条件）进行许可。 PwC印度尼西亚包括KAP Rintis, Jumadi, Rianto & Rekan、PT PricewaterhouseCoopers Indonesia Advisory、PT Prima Wahana Caraka、PT PricewaterhouseCoopers Consulting Indonesia以及PwC Legal Indonesia，每个都是独立法律实体，共同构成PwC全球网络在印度尼西亚的成员公司，统称为PwC印度尼西亚。 © 2024 PwC. 所有权利保留。 普华永道（PwC）指的是普华永道网络及/或其成员公司之一或数家，每一成员公司都是一个独立法律实体。有关详细信息，请参阅http://www.pwc.com/structure。 04前言 122904. 创业公司核心网络安全原则 2001. 引言 0606. 展望未来 3502. 设置舞台 09第三章：理解网络安全威胁态势05. 制定网络安全策略 在数字转型以前所未有的速度加速发展的时代，管理网络安全已经成为全球企业的一个关键关注点。随着我们步入2025年，优先考虑网络安全的紧迫性不容小觑，尤其是对于初创企业而言。专注于创新和增长的初创企业，在保护其数字资产免受日益复杂的网络威胁方面面临着独特的挑战。根据普华永道（PwC）2024年全球数字信任洞察报告，数据泄露的频率和财务影响正以令人担忧的速度上升。 前言来自普华永道印度尼西亚 在这样一个复杂的环境中导航，仅仅投资于先进技术是不够的。它要求一种涵盖人员、流程和技术在内的全面方法。随着生成式人工智能的出现，网络安全领域预计将进一步演变，既带来新的威胁，也带来创新的防御机制。普华永道2024年全球数字信任洞察报告为那些旨在增强其网络安全态势并保护其数字资产的公司提供了一个至关重要的指南。 我们感谢AC Ventures给予PwC印度尼西亚成为AC Ventures知识伙伴的机会。我们自豪地支持了AC Ventures，通过出版这份针对初创公司的网络安全剧本，更重要的是，我们为提升印度尼西亚的网络安全态势做出了贡献。 我们相信这份剧本可以作为有价值的信息和参考来源，对于初创企业而言。同时，我们也感谢所有抽出时间参与本剧本出版工作的各方。 苏比亚托 Indra Allen合作伙伴，毕马威印度尼西亚 合作伙伴，首席数字与技术官，普华永道印度尼西亚 最近18个月技术领域的最新发展可谓是令人惊讶。其中最具颠覆性的进步之一是在生成式人工智能领域，它不仅影响了技术行业，也影响了更广泛的企业界，但其全部影响仍有待观察。 序言从AC来源企业 在同一时间段内，我们同样观察到全球范围内网络安全事件有所增加，这不仅影响了全球企业，也影响到我们这里在印度尼西亚的本土公司。在AC Ventures，我们认识到网络安全对于保护我们投资组合公司的数据、运营和声誉至关重要。我们对网络安全的承诺是我们更广泛治理努力的一部分，确保我们的投资组合公司保持安全。 这导致我们与PwC印度尼西亚合作，共同撰写了这份针对初创企业的网络安全手册。该手册解释了为什么初创企业需要从一开始就优先考虑网络安全，提供了指导，并概述了构建网络安全框架的具体步骤。 我们的与PwC印度尼西亚的合作汇集了两个领先组织的优势：从AC Ventures对印度尼西亚创业生态系统深入理解中汲取洞见，以及PwC在全球范围内的广泛网络安全专业知识。这一伙伴关系反映了我们共同对网络安全治理的承诺。 我们对PwC印度尼西亚长期的合作伙伴关系表示衷心感谢。我们希望这本操作手册将有助于印度尼西亚充满活力且持续成长的创业生态系统，强化其对网络攻击的防范能力，并帮助创业公司为其业务建立一个安全且可持续的坚实基础。 创始人合伙人，AC Ventures 主要负责人 & 价值创造主管，AC Ventures 尽管其重要性不容忽视，网络安全往往被初创企业忽视。这是可以理解的，因为早期初创企业往往更专注于构建业务基础和开发产品。他们大部分时间都用于研究市场、识别差距、理解客户需求以及完善产品。 随着创业公司成长和成熟，它们对网络安全的重视程度逐渐提高，这通常是由更充裕的财务资源或扩大的技术团队所推动。在一些公司中，这导致了专门的信息技术或安全团队的成立。 很遗憾，对于一些初创公司来说，在经历了数据泄露、网络钓鱼攻击或系统黑客事件之后，网络安全才成为一项优先考虑的事项。因此，网络安全往往被降级为次要优先级，常常被视为次要关切。 然而，这种自满的代价可能很大。据普华永道的《2024 年全球数字信任洞察报告》显示：数据泄露在医疗保健、科技媒体和电信、金融服务、能源、公用事业和资源、工业和汽车以及零售和消费者等领域的平均成本为15亿印尼盾。重大数据泄露事件的频率、规模和成本正在不断升级，在过去三年中，有36%的公司报告称数据泄露相关的成本超过100万美元，而去年这一比例为27%。此外，根据普华永道2024年年度企业董事调查报告，有64%的董事会增加了他们分配给网络安全问题的时间。 在此背景下，AC Ventures 与 PwC 印度尼西亚合作，为初创公司制定这本网络安全手册。我们采访了几位首席技术官（CTO）、首席信息与技术官（CITO）以及 AC Ventures 投资组合公司的技术工程负责人，以收集初创公司面临的网络安全挑战的实地见解。您将在本手册中发现他们的一些见解。 目标是为初创公司提供一本实用指南，帮助它们建立起稳健的网络安全态势。我们理解资源可能有限，而且对增长的重视可能会使分配足够的注意力到网络安全上变得具有挑战性。因此，本操作手册旨在提出可操作的建议和策略，这些策略可扩展且适用于处于不同成熟阶段的初创公司。 核心网络安全原则 常见创业者面临的信息安全威胁 监管合规与数据保护 制定定制化的网络安全策略 到这份剧本结束之时，我们希望您对网络安全领域有更清晰的理解，并装备了必要的知识和工具来保护您的初创公司免受潜在威胁。 设定舞台 大型数据泄露的平均成本对公司而言是显著的。对于医疗保健行业，成本约为530万美元，而对于科技、媒体和电信（TMT）行业，成本约为480万美元，金融服务行业约为500万美元。 这些违规行为的成本一直在上升。同一份报告指出，从2023年到2024年，成本有所上升。 估计过去三年中组织最严重的数据泄露事件造成的成本 百分比表示称其遭遇了1000万美元以上泄露的人数：2024年总计 = 36%，2023年总计 = 27% 此外，普华永道2025年全球数字信任洞察报告确定了五类最为令人关注的网络安全威胁——云相关威胁、黑客攻击与泄露活动、第三方数据泄露、针对互联产品的攻击以及勒索软件——这些也正是安全执行官认为自己最没有准备好应对的威胁。这一差距凸显了迫切需要更好地进行投资以及加强响应能力的必要性。 网络威胁不仅针对大型公司，也针对初创企业。初创企业尤其容易受到网络安全攻击，尤其是在它们通常在一个快节奏的环境中运营的情况下，保护知识产权、保护客户数据和维持利益相关者信任至关重要。 初创公司尤其脆弱，因为它们通常缺乏大型企业那样的强大安全基础设施。一次成功的网络攻击可能会扰乱业务运营，导致停机、生产力下降和巨大的修复成本。普华永道的研究发现突出了在网络安全态势方面，顶尖表现者与其他企业的差异： 理解网络安全威胁景观 现在，让我们深入探讨构成网络安全威胁的因素以及生成式AI（67%）和云计算技术（66%）的作用。 景观正在演变。值得注意的是，在过去一年中，网络攻击面已得到扩展，这使得公司更容易受到复杂威胁的侵害。生成式人工智能（GenAI）还可以降低不那么复杂的威胁行为者的进入壁垒，使他们能够大规模地制定有效的网络钓鱼攻击和深度伪造。 也在不断扩大攻击面的其他技术包括连接设备和企业运营技术（OT），这将对制造业、医疗保健和能源等行业产生影响。随着越来越多的设备实现互联，保护这些系统变得更加困难。此外，虽然量子计算仍处于可预见的未来，但42%的安全主管报告称，它已经促使他们解决漏洞问题。 存在一些常见的网络攻击，这些攻击可能针对网络攻击面，包括电子邮件攻击、软件供应链破坏、账户妥协和勒索软件。以下是针对这些网络威胁的详细洞察。 普华永道洞察：常见网络攻击 随着网络攻击、云服务泄露和社会工程方案的增多，以下是一些威胁行为者发起攻击的常见方式。 鱼叉式网络钓鱼和商业电子邮件诈骗仍然是最有效的手段，因为员工/用户会被诱饵所吸引。对员工、承包商和第三方进行欺诈活动培训和意识提升可以帮助保护公司。 AC Ventures 的观点 在AC风险投资公司，我们认识到网络攻击对初创企业带来的挑战——无论是在全球范围内还是更接近家门口。这些事件可能导致财务损失、声誉损害以及潜在的客户信任丧失，所有这些都构成了重大的障碍。对于初创企业来说，意识到这些风险并采取积极、周到的措施来应对它们至关重要，而不是等到反应。 通过与我们的投资组合公司紧密合作，我们见证了积极进取的态度和明智的决策如何显著增强初创企业的网络安全，并保护其关键资产。 网络犯罪分子利用这一点，发起各种攻击，包括钓鱼、恶意软件、勒索软件、数据泄露和拒绝服务攻击。以下是对常见网络威胁类型的解释： 恶意软件攻击01恶意软件，包括病毒、蠕虫和特洛伊木马，侵入系统以破坏操作、窃取信息或获取未经授权的访问。这些恶意程序如果未被检测到，可能会造成广泛损害。 钓鱼攻击02网络钓鱼仍然是最普遍的网络威胁之一。攻击者利用欺诈性电子邮件、消息或网站诱骗个人泄露敏感信息，如登录凭证或财务细节。在初始阶段，由于缺乏复杂的网络安全协议，初创公司尤其容易受到网络钓鱼的攻击。网络钓鱼对新兴企业构成重大威胁，因为这些企业通常缺乏全面的防护工具，例如通过密码管理器获取独家资源访问权限或所有应用程序的多种因素认证。网络钓鱼不仅仅是凭证盗窃，它还可以成为更严重的网络犯罪的大门，包括部署勒索软件、建立未经授权的访问点以及策划供应链漏洞。 网络安全卫生薄弱03内部脆弱性带来重大风险。员工可能有意或无意地泄露敏感数据或授予网络犯罪分子未经授权的访问权限，导致数据泄露。缺乏定期软件更新和不足的安全措施创造了网络犯罪分子可以利用的漏洞。 04不良的密码使用习惯 密码质量差并不在最大的密码相关安全威胁之列。 密码被重复使用- 使用单一密码登录多个账户的行为，使得黑客能够通过将窃取的电子邮件和密码组合输入大量应用程序中，从而实现未授权访问的凭证填充攻击。密码以明文形式共享。- 分享敏感的个人信息，包括但不限于明文形式的登录凭证，可能导致通过网络嗅探