网络安全创业公司操作手册
AI智能总结
2024年11月 作者 萨米拉·希哈布系AC Ventures的副总裁和价值创造部门主管 Subianto是印度尼西亚PwC的合伙人、首席数字与技术官 Indra Allen 是普华永道印度尼西亚的合伙人。 安吉洛·维贾亚AC Ventures公司的一名价值创造专业人士 安德烈·特尔塔贾亚是PT普华永道印度尼西亚的风险保障总监 本尼·塞塔亚迪是PwC印度尼西亚的风险保障高级经理 Roro Astuti是普华永道印尼的高级管理合伙人 Roselyn Widjaja是PT普华永道印度尼西亚的风险保障高级 associate Putri Nariswari是一位普华永道印度尼西亚的风险保障助理 普华永道免责声明 本出版物仅为对一般性兴趣事项的指导而编制,并不构成专业建议。在没有获得具体专业建议的情况下,您不应依据本出版物中所含信息采取任何行动。对于本出版物中包含的信息的准确性或完整性,并未提供任何明示或默示的保证或担保,并且在法律允许的范围内,PwC印度尼西亚及其成员、雇员和代理人不对您或任何人因依赖本出版物中所含信息采取行动或不采取行动所导致的任何后果承担责任或义务。 文件或从普华永道获得的信息,未经我们事先书面许可,不得全部或部分提供给任何其他个人/实体。我们可能根据我们的裁量权,授予、拒绝或附条件地授予此类许可(包括关于法律责任或不存在法律责任的条件)。 普华永道印度尼西亚包括KAP Rintis, Jumadi, Rianto & Rekan,PT PricewaterhouseCoopers Indonesia Advisory,PT Prima Wahana Caraka,PT PricewaterhouseCoopers Consulting Indonesia,以及PwC Legal Indonesia,每个都是一个独立的法律实体,所有这些实体共同构成了普华永道全球网络在印尼的成员公司,统称为普华永道印度尼西亚。 © 2024 PwC. 所有权利保留。 普华永道(PwC)指的是普华永道网络和/或其一个或多个成员公司,每家成员公司均为独立的法律实体。请参阅http://www.pwc.com/structure以获取更多详细信息。 04前言 122904. 创业公司核心网络安全原则 2001. 引言 0606. 展望未来 3502. 设置舞台 09第三章:理解网络安全威胁态势05. 制定网络安全策略 在一个数字化转型以前所未有的速度加速的时代,管理网络安全已经成为全球企业的一个关键问题。随着我们步入2025年,优先考虑网络安全的紧迫性不容小觑,尤其是对于初创企业而言。专注于创新和增长的崭新企业,在防范日益复杂的网络威胁以保护其数字资产方面面临着独特的挑战。根据普华永道2024年全球数字信任洞察报告,数据泄露的频率和财务影响正以令人担忧的速度上升。 前言来自普华永道印度尼西亚 在这个复杂的环境中导航,不仅需要投资先进技术,还需要一种涵盖人员、流程和技术在内的全面方法。随着生成式人工智能的出现,网络安全领域预计将进一步演变,既带来新的威胁,也带来创新的防御机制。普华永道2024年全球数字信任洞察报告为那些旨在增强其网络安全态势并保护其数字资产的公司提供了一项关键指南。 我们感谢AC Ventures为PwC印度尼西亚提供的机会,使其成为AC Ventures的知识伙伴。我们自豪地支持AC Ventures通过出版这份针对初创企业的网络安全手册,并且更重要的是,我们为提高印度尼西亚的网络安全态势做出了贡献。 我们相信这份操作手册可以成为宝贵的信息来源和创业公司的参考。同时,我们也感谢所有抽出时间为此手册出版做出贡献的各方。 Subianto Indra Allen合作伙伴,普华永道印度尼西亚 合作伙伴,印度尼西亚PwC首席数字与技术官 近18个月来,科技领域的发展堪称令人惊讶。其中最具颠覆性的进展之一是生成式AI的发展,它不仅影响了科技行业,也影响了更广泛的企业界,但其全面影响尚待观察。 前言来自AC企业 在相同的时间段内,我们观察到的另一个趋势是全球范围内网络安全事件的增加,这些事件影响了全球企业和我国印尼境内的公司。在AC Ventures,我们认识到网络安全对于保护我们投资组合公司的数据、运营和声誉至关重要。我们对网络安全的承诺是我们更广泛的治理努力的一部分,确保我们的投资组合公司保持安全。 这导致我们与印度尼西亚PwC合作,共同撰写了这本针对初创企业的《网络安全手册》。此手册解释了为什么初创企业从一开始就需要优先考虑网络安全,提供了指导,并概述了构建网络安全框架的实际行动步骤。 我们的与PwC印度尼西亚的合作汇集了两个领先组织的优势:从AC Ventures对印度尼西亚初创生态系统深刻的理解中汲取见解,以及PwC在全球范围内的广泛网络安全专业知识。这一合作反映了我们共同对网络安全治理的承诺。 我们向PwC印度尼西亚表示衷心的感谢,感谢我们长期以来的合作伙伴关系。我们希望这份操作手册能够为印度尼西亚充满活力且持续增长的初创企业生态系统做出贡献,加强其抵御网络攻击的能力,并帮助初创企业为其业务建立安全且可持续的基础。 创始人合伙人,AC风投公司 主要负责人与价值创造主管,AC风险投资公司 尽管其重要性不言而喻,网络安全常常被初创企业所忽视。这是可以理解的,因为处于早期阶段的初创企业往往更专注于建立业务基础和开发他们的产品。他们将大部分时间用于市场研究、识别缺口、理解客户需求以及完善他们的产品。 随着创业公司的发展和成熟,它们越来越意识到网络安全的重要性,这通常是由更大的财务资源或不断壮大的技术团队驱动的。在某些公司中,这导致了专门的信息技术或安全团队的建立。 不幸的是,对于一些初创公司来说,只有在经历了数据泄露、钓鱼攻击或系统黑客攻击等事件之后,网络安全才会成为优先事项。因此,网络安全往往被降级为较低优先级,通常被视为次要关注点。 然而,这种自满的成本可能很高。根据普华永道(PwC)2024年全球数字信任洞察报告,数据泄露在医疗保健、技术媒体和电信、金融服务、能源、公用事业和资源、工业和汽车以及零售和消费者等行业平均造成150亿印尼盾的成本。大型数据泄露事件在频率、规模和成本方面正在升级,过去三年内,36%的企业报告的数据泄露相关成本超过100万美元,比去年增长了27%。此外,普华永道(PwC)2024年年度企业董事调查报告指出,64%的董事会增加了分配给网络安全事项的时间。 在这个背景下,AC Ventures与PwC印尼合作,为初创企业制定这份网络安全手册。我们采访了多位首席技术官(CTO)、首席信息与技术官(CITO)以及AC Ventures投资组合公司科技和工程部门的负责人,以收集初创企业面临的网络安全挑战的第一手见解。您将在本手册中发现他们的一些见解。 目标是提供一本实用的指南,帮助初创公司建立强大的网络安全态势。我们理解资源可能有限,而关注增长可能会使分配足够的注意力进行网络安全变得具有挑战性。因此,本剧本旨在提供可操作的建议和策略,这些策略具有可扩展性和适应性,适用于不同成熟阶段的初创公司。 在下几页中,以下是您可以从本指南中期待得到的内容: 核心网络安全原则 监管合规与数据保护 开发定制的网络安全策略 到本指南结束之时,我们希望您对网络安全领域有更清晰的认识,并具备了保护您的初创公司免受潜在威胁所需的知识和工具。 奠定基础 平均重大数据泄露的成本对公司来说非常显著。对于医疗保健行业,成本约为530万美元,而对于科技、媒体和电信(TMT)行业,约为480万美元,金融服务行业则大约为500万美元。 这些违规行为的成本正在上升。同样,该报告指出,成本从2023年升至2024年。 估计过去三年内组织最严重数据泄露事件的相关成本 百分比表示有100万美元以上安全漏洞的人数:2024年总计=36%,2023年总计=27% 另外,普华永道(PwC)的2025年全球数字信任洞察报告指出,最令人关注的五大网络安全威胁——与云相关的威胁、黑客攻击及泄露操作、第三方数据泄露、对联网产品的攻击以及勒索软件——正是那些安全管理人员认为自己准备最不足够应对的威胁。这一差距凸显了更好地投资和加强响应能力的紧急需求。 网络威胁不仅针对大公司,也针对初创企业。特别是考虑到初创企业往往在快节奏的环境下运营,保护知识产权、保护客户数据和维持利益相关者信任至关重要,因此它们尤其容易受到网络安全攻击。 初创公司尤其容易受到损害,因为它们往往缺乏大型企业那种强大的安全基础设施。一次成功的网络攻击可能会破坏业务运营,导致停机、生产力下降以及巨大的修复成本。普华永道的研究强调了在网络安全态势方面,顶级表现者与其他人之间的区别: 理解网络安全威胁景观 现在,让我们深入探讨构成网络安全威胁的要素以及生成式人工智能(GenAI,占比67%)和云计算技术(占比66%)在其中所扮演的角色。 景观正在演变。值得注意的是,在过去一年中,网络攻击面有所扩大,这使得公司更容易受到复杂威胁的侵害。生成式人工智能(GenAI)还可以降低对不那么复杂的威胁行为者的进入门槛,使他们能够大规模地制作有效的网络钓鱼攻击和深度伪造。 也在不断扩大的攻击面中包括其他技术,如连接设备和技术运营(OT),这将影响制造、医疗和能源等行业。随着更多设备变得互联互通,确保这些系统变得更加困难。此外,虽然量子计算仍在地平线上,但42%的安全管理人员报告称,它已经迫使他们开始解决漏洞。 以下是一些可能针对网络攻击面进行的常见网络攻击,包括电子邮件攻击、软件供应链破坏、账户破坏以及勒索软件。下面是针对这些网络威胁的详细分析。 普华永道洞察:常见网络攻击 随着网络攻击、云服务泄露和社会工程方案的增多,以下是威胁行为者常见的攻击方式。 勒索软件是一种严重且不断增长的威胁。企业应加强防御并制定事件响应计划计划和解决相关问题的相应操作手册勒索软件攻击。勒索软件犯罪分子正在增多,吸引新网络安全人才、创新恶意软件,并采取行动毫无惩罚地。领先的公司正在投资于网络安全。弹性能力,限制潜在影响的潜力勒索软件和启用更有效的恢复技术。 AC风险投资公司的观点 在AC风险投资公司,我们认识到网络攻击对初创企业带来的挑战——无论是在全球范围内还是更接近我们本土。这些事件可能导致财务损失、声誉损害以及潜在的客户信任丧失,所有这些都构成了重大的障碍。对于初创企业来说,认识到这些风险并且采取主动、深思熟虑的步骤来应对它们,而不是等到反应,这是至关重要的。 通过与我们的投资组合公司紧密合作,我们看到了主动方法和明智的决策如何显著增强初创企业的网络安全,并保护其关键资产。” 网络犯罪分子利用这一点,通过发起各种攻击来获利,包括钓鱼、恶意软件、勒索软件、数据泄露和拒绝服务攻击。以下是对常见网络威胁的解释: 恶意软件攻击01恶意软件,包括病毒、蠕虫和木马,侵入系统以中断操作、窃取信息或未经授权访问。这些恶意程序若未被检测到,可能会造成广泛的破坏。 钓鱼攻击02钓鱼攻击仍然是最常见的网络威胁之一。攻击者利用欺骗性的电子邮件、消息或网站来诱骗个人透露敏感信息,如登录凭证或财务详情。在起步阶段,初创企业由于缺乏复杂的防护协议,特别容易受到钓鱼攻击。钓鱼攻击对新兴企业构成重大威胁,这些企业通常缺乏全面的防护工具,例如通过密码管理器实现独家资源访问或所有应用程序的多因素身份验证。钓鱼攻击不仅可能导致凭证盗窃,还可能成为更严重的网络犯罪行为的入口,包括部署勒索软件、建立未经授权的访问点以及策划供应链漏洞。 薄弱的网络安全卫生03内部漏洞带来重大风险。员工可能有意或无意地泄露敏感数据或向网络犯罪分子提供未授权的访问权限,从而导致数据泄露。缺乏定期软件更新和不足的安全措施创造了网络犯罪分子可以加以利用的漏洞。 04密码使用不当 密码质量差并不是最大的密码相关安全威胁之一。 密码被重复使用。使用单一
