网络安全实战手册
AI智能总结
2024年11月 萨米拉·希哈布是AC Ventures的价值创造部门负责人。 苏比安托是一位普华永道印度尼西亚的合伙人、首席数字与技术官。 Indra Allen是PwC印度尼西亚的合伙人。 安杰洛·维贾亚是一名AC风险投资的增值专业人士 安德烈·特里塔贾亚是印度尼西亚普华永道(PwC Indonesia)的风险保证总监 本尼·塞蒂亚迪是普华永道印度尼西亚的风险保证高级经理 Roro Astuti他是普华永道印度尼西亚的一位资深经营管理顾问。 罗丝琳·维佳雅是印尼普华永道(PwC Indonesia)的风险保证高级 associate。 普拉蒂·纳里莎里是一位普华永道印度尼西亚的风险保障助理。 普华永道免责声明 本出版物仅作为对相关事项的一般性指导,并不构成专业建议。在获取具体专业建议之前,您不应依据本出版物中的信息采取任何行动。关于本出版物中包含的信息的准确性或完整性,不提供任何明示或暗示的保证或担保,并且在法律允许的范围内,PwC印度尼西亚及其成员、雇员和代理不对您或任何其他人依据本出版物中的信息采取行动或因依赖该信息而未采取行动的任何后果承担责任或义务。 文件或从普华永道获得的信息,未经我们事先书面许可,不得全部或部分提供给任何其他人员/当事人。我们可能自行决定是否授予许可、拒绝许可或附条件地授予许可(包括有关法律责任或其不存在之条件)。 PwC 印尼由KAP Rintis、Jumadi、Rianto & Rekan,PT PricewaterhouseCoopers Indonesia Advisory,PT Prima Wahana Caraka,PT PricewaterhouseCoopers Consulting Indonesia,以及PwC Legal Indonesia组成,每个都是独立的法律实体,它们共同构成PwC全球网络的印尼成员公司,统称为PwC 印尼。 普华永道(PwC)指的是普华永道网络及其/或其一个或多个成员公司,每家成员公司都是一个独立的法律实体。请访问http://www.pwc.com/structure以获取更多详细信息。 04前言 12 第三章 理解网络安全威胁态势 04. 创业公司核心网络安全原则 20 29 05. 制定网络安全策略 在数字化转型的时代,以史无前例的速度加速发展,全球范围内的企业都将网络安全管理视为一项关键关切。随着我们步入2025年,优先考虑网络安全的紧迫性不容忽视,尤其是对于初创企业而言。新兴企业,专注于创新和增长,在保护其数字资产免受日益复杂的网络威胁方面面临独特的挑战。根据普华永道(PwC)2024年全球数字信任洞察报告,数据泄露的频率和财务影响正以令人担忧的速度上升。 前言来自PwC印度尼西亚 在探索这一复杂领域时,仅仅投资先进技术是不够的。它需要一种包含人员、流程和技术的全面方法。随着生成式人工智能的出现,网络安全领域有望进一步演变,带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至关重要的指南。 我们感谢AC Ventures为我们印尼PwC提供的机会,使其成为AC Ventures的知识伙伴。我们自豪地支持了AC Ventures,通过出版这份针对初创企业的网络安全手册,并最重要的是,为提高印度尼西亚的网络安全态势做出了贡献。 我们相信这个操作手册可以是一个宝贵的信息来源和参考,对于初创企业来说。我们也向所有抽出时间为此手册出版做出贡献的各方表示衷心的感谢。 苏比安托 Indra Allen合作伙伴,普华永道印度尼西亚 合作伙伴,首席数字与技术官,普华永道印度尼西亚 最近18个月科技领域的发展令人惊叹。其中最具颠覆性的进展之一是在生成式人工智能领域,这不仅影响了科技行业,也对更广泛的企业界产生了影响,但其全部影响仍待观察。 序言自AC起风险投资 在同一时间段内,我们观察到的另一趋势是全球范围内网络安全事件的增加,影响了全球企业和我们更接近的印尼本地公司。在AC Ventures,我们认识到网络安全对于保护我们投资组合公司的数据、运营和声誉至关重要。我们对网络安全的这一承诺是我们更广泛治理努力的一部分,确保我们的投资组合公司保持安全。 这导致我们与PwC印度尼西亚合作,共同撰写这份针对初创公司的网络安全手册。该手册解释了为什么初创公司需要从一开始就优先考虑网络安全,提供了指导,并概述了构建网络安全框架的可操作步骤。 我们的与PwC印度尼西亚的合作汇集了两家领先组织的优势:从AC Ventures对印度尼西亚创业生态系统的深入理解中汲取洞见,以及PwC在全球范围内的广泛网络安全专业知识。这一合作伙伴关系反映了我们共同对网络安全治理的承诺。 我们向PwC印度尼西亚表示衷心的感谢,感谢我们长期以来的合作伙伴关系。我们希望这份操作手册能够为印度尼西亚充满活力且持续增长的初创企业生态系统做出贡献,加强其抵御网络攻击的能力,并帮助初创企业为其业务建立一个安全且可持续的基础。 创始人合伙人,AC风险投资 主要创始人兼价值创造总监,AC Ventures 尽管其重要性不容忽视,网络安全问题往往被初创企业所忽视。这是可以理解的,因为早期初创企业通常会更多地关注构建商业基础和开发他们的产品。他们大部分时间都用于研究市场、识别空缺、理解客户需求以及完善他们的产品。 随着初创企业成长和成熟,它们越来越意识到网络安全的重要性,这通常是由更丰富的财务资源或扩展的技术团队所驱动。在一些公司中,这导致成立了专门的信息技术或安全团队。 不幸的是,对于一些初创企业来说,只有在经历了数据泄露、钓鱼攻击或系统黑客等事件之后,网络安全才会成为优先事项。因此,网络安全往往被降级为较低优先级,通常被视为次要关注点。 然而,这种自满的成本可能巨大。根据普华永道(PwC)的2024年《全球数字信任洞察报告》,在医疗保健、科技媒体和电信、金融服务、能源、公用事业和资源、工业和汽车以及零售和消费者等领域,数据泄露平均造成的损失约为150亿印尼盾。大型数据泄露事件在频率、规模和成本上都在不断增加,过去三年内,有36%的公司报告称数据泄露相关的成本达到100万美元或更多,比前一年增加了27%。此外,普华永道2024年年度企业董事调查指出,64%的董事会增加了其分配给网络安全问题的时间。 在这一背景下,AC风险投资公司正与PwC印度尼西亚合作编撰这本针对初创公司的网络安全手册。我们采访了数位首席技术官(CTO)、首席信息与技术官(CITO)以及AC风险投资公司旗下科技和工程部门的负责人,以收集有关初创公司所面临网络安全挑战的首次手资料。您将在这份手册中发现他们的一些见解。 目标是为初创企业提供一本实用指南,帮助它们建立稳健的网络安全态势。我们理解资源可能有限,而关注增长可能会使分配足够的注意力于网络安全变得具有挑战性。因此,本指南旨在提出可操作的观点和策略,这些观点和策略可扩展且适用于处于不同成熟阶段的初创企业。 在接下来的几页中,以下是您可以从这份剧本中期待的内容: 核心网络安全原则 监管合规与数据保护 制定定制化的网络安全策略 到本指南的结尾,我们希望您对网络安全领域有更清晰的认识,并配备了所需的知识和工具,以保护您的初创企业免受潜在威胁。 02 为舞台做铺垫 平均一次重大数据泄露的代价对公司来说非常巨大。对于医疗保健行业,成本约为530万美元,而对于技术、媒体和电信(TMT)行业,成本约为480万美元,金融服务行业的成本大约为500万美元。 这些违规行为的成本一直在上升。同一份报告指出,从2023年到2024年,成本有所上升。 过去三年内组织最严重的数据泄露事件的预估成本 百分比表示有100万美元以上泄露的人数:2024年总计=36%,2023年总计=27% 此外,普华永道(PwC)2025年全球数字信任洞察报告确定了五个最令人担忧的网络安全威胁——云相关威胁、黑客攻击和泄露操作、第三方安全漏洞、针对连接产品的攻击和勒索软件——正是那些安全主管们感觉最缺乏准备去应对的威胁。这一差距凸显了改善投资和增强应对能力的紧迫需求。 网络威胁不仅针对大公司,也针对初创企业。考虑到它们常常在快速的环境中进行运营,这种环境对知识产权保护、客户数据保护以及维护股东信任至关重要,初创企业尤其容易受到网络安全的攻击。 初创企业尤其脆弱,因为它们通常缺乏大型企业的强大安全基础设施。一次成功的网络攻击可能会扰乱业务运营,导致停机、生产力下降以及重大修复成本。普华永道的研究发现突出了顶尖表现者在网络安全立场方面与其他企业区分开来的因素: 理解:网络安全威胁景观 现在,让我们深入探讨构成网络安全威胁的因素以及生成式人工智能(67%)和云计算技术(66%)的作用。 景观正在演变。值得注意的是,在过去一年中,网络攻击面已扩大,这使得公司更容易受到复杂威胁的侵害。通用人工智能(GenAI)还可以降低不太复杂的威胁行为者的进入壁垒,使他们能够大规模地制定有效的网络钓鱼攻击和深度伪造。 同样扩大攻击面的还有其他技术,如连接设备和运营技术(OT),这将影响制造业、医疗保健和能源等行业。随着更多设备实现互联,保护这些系统变得越来越困难。此外,尽管量子计算仍处于前景,但42%的安全主管报告称,它已经迫使他们解决漏洞。 存在一些常见的网络攻击,这些攻击可以针对网络攻击面进行,包括电子邮件攻击、软件供应链破坏、账户破坏和勒索软件。以下是这些网络威胁的详细见解。 普华永道洞察:常见网络攻击 随着网络攻击、云服务泄露和社会工程方案的增多,以下是一些威胁行为者发起攻击的常见方式。 鱼叉式网络钓鱼和企业电子邮件诈骗仍然是有效的手段,因为员工/用户容易受到诱饵的吸引。对员工、承包商和第三方进行关于欺诈活动的培训和意识提升可以帮助保护公司。 AC Ventures的视角 在AC风险投资公司,我们认识到网络攻击对初创企业所提出的挑战——无论是全球范围内的还是更接近我们本土的。这些事件可能导致财务损失、声誉损害以及客户信任的潜在丧失,所有这些都构成了重大的障碍。对于初创企业来说,意识到这些风险并采取主动、周到的措施来应对它们,而不是等到反应,这一点至关重要。 通过与我们的投资组合公司紧密合作,我们看到了主动方法和明智的决策如何显著加强初创企业的网络安全并保护其关键资产。” 网络犯罪分子利用这一机会,发起各种攻击,包括钓鱼、恶意软件、勒索软件、数据泄露和拒绝服务攻击。以下是对常见网络威胁类型的解释: 恶意软件攻击01恶意软件,包括病毒、蠕虫和特洛伊木马,会渗透系统以干扰操作、窃取信息或非法访问。如果未被发现,这些恶意程序可能会造成重大损害。 钓鱼攻击02钓鱼攻击仍然是最常见的网络威胁之一。攻击者利用欺骗性的电子邮件、消息或网站诱骗个人泄露敏感信息,如登录凭证或财务详情。在初期阶段,初创公司由于缺乏复杂的网络安全协议,特别容易受到钓鱼攻击。钓鱼攻击对新兴企业构成重大威胁,这些企业通常缺乏全面的安全防护工具,例如通过密码管理器访问专属资源或在整个应用程序中使用多因素认证。除了简单的凭证盗窃外,钓鱼攻击还可能成为更严重网络犯罪的门户,包括部署勒索软件、建立未经授权的访问点以及策划供应链漏洞。 网络安全卫生薄弱03内部脆弱性带来重大风险。员工可能有意或无意地泄露敏感数据或允许网络犯罪分子获取未授权访问,导致数据泄露。缺乏定期软件更新和不足的安全措施创造了网络犯罪分子可以利用的漏洞。 04糟糕的密码使用习惯 密码质量差并不属于最大的密码相关安全威胁。 密码被重复使用- 使用单一密码登录多个账户的行为,使得黑客能够将窃取的电子邮件和密码组合输入大量应用程序中,以获得未经授权的访问权限。密码以明文形式共享。分享敏感的个人数据,包括但不限于以明文形式呈现的登录凭证,可能导致通过网络嗅探、中间人攻击和邪恶孪生攻击窃取此类数据。密码频繁被遗忘
