調查:企業擁有子公司的更容易遭遇網絡攻擊

CyCognito委托Osterman Research進行調研的結果表明，相比沒有子公司或子公司數量較少的企業，子公司數量眾多的跨國企業更容易受到網絡安全威脅，且更難以管理風險。

這項調研的目標對象是至少擁有10家子公司和3000多名雇員或年收入在10億美元以上的201家企業。

盡管對自家子公司風險管理的有效性極具信心，但約67%的受訪者表示，其所在企業要么經歷過攻擊鏈包括子公司的網絡攻擊，要么無法排除這種可能性。

約半數受訪者承認，即使“明天”就發生數據泄露，他們也毫不驚訝。這些受訪者身居網絡安全、合規或風險方面的管理職位。每家受訪企業都有員工專職監測子公司風險。

Osterman Research高級分析師Michael Sampson表示：“我們希望了解企業面臨的威脅和風險，不僅僅是企業剛剛收購或兼并的子公司，更重要的是那些已經存在多年或更長時間的子公司。而且鑒于網絡安全挑戰、風險和問題不斷變化，即使公司當下的網絡安全事件歷史清白，我敢打賭，隨著新漏洞的發現或凸顯，這種安全狀態會不斷下滑。”

Sampson稱，如果子公司不知道資產和數據源暴露情況，或者選擇向母公司隱瞞此類情況，這些漏洞就會被忽視，并在以后發展成重大問題。

子公司面臨多重安全風險

調研報告強調，以犧牲安全為代價的合規、復雜的并入流程、不常執行且冗長的風險管理過程、過度使用手動工具，以及修復與檢測結果之間的滯后，這些都是子公司風險管理中的主要障礙。

報告稱，宏觀趨勢和業務運營環境正在影響安全運營現實。例如，在子公司的首要問題方面，69%的受訪者提到了新冠肺炎疫情引發的數字轉型，56%的受訪者則指向全球近期頻頻發生的重大供應鏈攻擊事件。

Sampson稱：“我認為，我們將看到企業越來越重視網絡安全，而且過去五年中，一些網絡安全威脅也已經廣為人知了。供應鏈勒索軟件和商務電郵入侵（BEC）就是其中最常見的兩種。”

報告強調，企業更重視子公司風險監測中的合規方面而非安全方面，這就在子公司并入和管理過程中留下了漏洞，導致面臨更多攻擊。

子公司并入本身是一項復雜的任務，只有大約5%的受訪者確認擁有無縫整合新業務部門的成熟流程，而其他受訪者則抱怨，母公司和子公司兩方面都背負著巨大的工作量。

受訪者表示，目前實行的子公司管理操作太過稀少，某種意義上講，由于收集的數據具有即時性，因此只能提供快照視圖，很快就會過時。此外，大多數受訪者認為，當前的流程不足以覆蓋企業的潛在攻擊面，留有漏洞，還經常會大量產生需費時費力處理的誤報。

風險評估耗時太久

另一項重要考慮是子公司相關風險的評估耗時。目前，54%的受訪企業平均花費一周到三個月的時間進行風險評估，其中71%想將風險評估時間縮短至一天以內。

受訪者還指出了安全漏洞檢測與修復之間的滯后問題。大約73%的受訪者稱，檢出安全漏洞與修復安全漏洞之間存在一周到一個月的時間差。這種滯后可能造成十分危險的攻擊機會。更糟的是，管理安全風險所需的大量工具不過是增加了總處理時間。

根據該報告，相比子公司數量較少的企業，擁有大量子公司的企業多花費一個月以上才能修復所檢出安全漏洞的可能性要高50%。而所在母公司下轄子公司數量不少于17家的受訪者，表示子公司不止一次卷入網絡攻擊鏈的可能性，比所在企業子公司數量較少的受訪者高出近一倍。

網絡安全公司CyCognito創始人兼首席執行官Rob Gurzeev稱：“子公司風險管理面臨的挑戰是，母公司和子公司可能分處不同的國家/地區，可能使用完全不同的技術棧、流程、溝通方式和文化。如果我是企業甚至整個集團的首席安全官，我對這些其他企業的資產可能一無所知，進而即便我知曉了某種風險，我也缺乏著手應對的相關上下文。”

雖然上世紀90年代末的漏洞管理和滲透測試通常僅限于公司幾臺接入互聯網的服務器，但過去幾十年間的上云工作向成千上萬的工程師、供應商、合作伙伴和第三方開放了系統框架。Gurzeev表示，在已延伸的網絡架構中加入子公司只會增加攻擊面，需要更加有效的應對措施。