2021企业数字风险防护状况如何？天际友盟报告揭示真相

工信部部长肖亚庆在《学习时报》撰文认为，企业的数字化转型不是一道选择题，而是一道生存题。

 

在数字经济时代，作为一种核心经济资源，数据蕴涵的经济价值巨大，前景无限光明。随着企业数字化转型的加速，企业必将完成从数字资源到数字资产和数字资本的历史性飞跃，真正实现数字经济的价值。

 

数字化、智能化在为各行各业带来价值创造机遇的同时，也会催生很多新的风险。这就要求企业能够运用全新的理念和手段，提升数字资产、数据资本的风险管理能力。

 

那么在数字经济时代，企业如何保护自己的数字资产呢？近日天际友盟《DRP数字风险防护报告（2021年上半年）》重磅发布，报告揭示了2021年上半年全球数字风险的基本状况，也对企业做好风险防护提供指南。

 

1.数字风险哪儿最大？

 

数字风险是随着数字化转型而快速产生的规模化风险。报告介绍说，数字风险防护简称DRP(Digital Risk Protection)，通常由企业内不同的团队来完成，各自运营并着重于不同业务单元，致力于保护企业的数字足迹、数字资产。

 

企业通过逐步建立跨职能的信任与安全团队（trust and safety teams），以洞察与客户的整体互动过程，避免数字资产被不法分子侵害。

 

由天际友盟双子座实验室撰写《DRP数字风险防护报告（2021年上半年）》揭示了2021上半年数字风险现状。

 

从数字风险场景看，在钓鱼欺诈、数据泄露、品牌侵权、威胁误报四大类场景中，钓鱼欺诈的数量“一骑绝尘”，领先于其他数字风险。由于钓鱼欺诈可带来直接利益，因此未来在一定时期内，钓鱼欺诈仍将是数字风险的重点防范对象。

 

2021年上半年按风险场景划分的数字风险统计数据

 

从资产类型来看，在遭遇数字风险的常见IT资产中，网站高居榜首，在数字风险中的占比达到59.05%。其次为移动APP、社交媒体账号、邮件等。

 

在2021年上半年，金融业由于行业的特性即风险管理，且直接与货币挂钩，始终是数字风险的重灾区，高居行业类数字风险的第一位。可以预见，金融业将长期占据数字风险高发行业首位。

 

 

2.数字风险来自哪儿？

 

追本溯源，知道数字风险来自哪儿，也至关重要。报告给出了详细的调查结果。

 

按风险事件类型来看，数字风险共有13个类别，分别为银行金融信息钓鱼、个人身份信息钓鱼、企业认证信息钓鱼、 利用官方APP蹭流量、恶意APP钓鱼欺诈、利用品牌知名度引流或欺诈、敏感资料泄漏、电子邮件欺诈、影视版权盗版、知识付费盗版、社交媒体仿冒、VIP名人仿冒侵权、企业内网代码泄露等。

 

按攻击团伙来看，金融欺诈团伙的主要目的是盗取银行金融、证券基金等在线服务的登录信息、银行卡信息，以及受骗者的个人信息，而后实施盗刷、盗转、诈骗、盗用身份等进行非法敛财行为。

 

同行恶意竞争一般是由被攻击或者被仿冒品牌的竞争者发起，主要集中在加密货币、电子商务和在线服务等行业。通常发生的场景包括搜索引擎恶意排名和仿冒网站引流。

 

而黄赌团伙的主要目的是传播色情网站和博彩网站。这类团伙有非常丰富的反侦测经验，通常利用银行、政府、大型企业等官方网站的网页代码作为掩护，对非法网站进行传播。

 

按数字风险发生的平台，社交媒体侦测数据涉及18个平台，其中微博占比最大为45.72%；在移动APP商店中，历趣应用商店相对占比最多；按网络服务商，从攻击团伙使用的IP所属的网络服务商来排序，华为云占比最高为 18.79%；按域名注册商，阿里云占比最大为 23.49%。

 

按照攻击团伙使用的基础设施IP 地理位置分布来看，数字风险遍布77个国家和地区，其中美国占比最高，达到35.65。

 

报告认为，数字风险呈现三大发展趋势：

 

服务商集中化，某些云服务商刻意不作为，间接成为数字风险的最大帮凶，而云也成为数字风险的集中隐匿点。

 

风险场景多元化，各种可以直接或间接利益变现的手法，使数字风险发展出许多新的类型。

 

位置海外化，风险全球分布，寻求法律、监管的薄弱地区。

 

3.如何防护自己的数字风险？

 

在数字经济时代，各类主体对数字风险防护的需求与日俱增。组织需要一个标准的、规范化的方法来应对新生的数字风险，以期满足对风险管理的成熟度要求。

 

天际友盟提出的数字风险防护框架（IDRR Framework）是一个基于生命周期的数字风险防护方法论，可以和信息安全框架结合，有效解决数字风险管理面临的问题和挑战。

 

IDRR框架基于数字风险保护生命周期，分为识别（Identify）、监测（Detect）、响应（Response）、恢复（Recovery）四个阶段。该模型将持续改进融入了数字风险防护模型，可为企业提供数字风险的全生命周期管理。

 

基于IDRR框架，报告对企业数数字风险管理提出具体建议。

 

其一，识别数字风险防护需求。报告认为，金融行业、影视文娱行业、数字资产行业、知识付费行业以及大型国央企、泛政府机构等组织，由于各行业所具有的特殊性，更易遭受不同类型的数字风险的威胁，其需求表现在业务风险和合规风险领域。

 

以金融行业为例，常见的数字品牌场景包括网络钓鱼、品牌侵权、数据泄露等。报告建议主要抓好数字金融欺诈和金融行业数据合规等风险的防范。其中，融监管机构明确规定，金融机构必须加强安全技术防范措施，需加强主动侦测钓鱼网站机制建设，主动搜索钓鱼网站，并采取多种措施及时关闭钓鱼网站。未来金融业数据合规要求也将面临全面挑战。

 

其二，做好数字风险意识管理。数字风险意识决定了企业管理数字风险的态度，是数字风险防护的源头。市场、法务、风控、人力资源、财务、高管、技术团队等，都可能是数字风险的潜在目标。因此培养内部人员的风险意识，是数字风险防护体系中不可缺少的一环。

 

其三，建立完备的数字风险防护机制。根据IDRR框架，企业可以建立起完备的数字风险防护机制，包括识别数字资产、实时监测风险、多种方式告警、快速关停处置、持续跟踪监控、深度风险分析等。

 

其四，开展数字风险保护外包服务评估。由于数字风险主要分布在企业可防护范围外部，对防护的各阶段都提出了技术、管理上的挑战。为了降低数字风险应对成本，企业通常采用外部服务商的方法应对数字风险，因此，针对外部服务商的评估也甚为关键。报告给出了针对外部服务商进行评估的几个因素。

 

天际友盟建议，企业采用IDRR模型，以合规需求和业务需求作为数字资产风险梳理的切入点，建立完备的应急响应机制，同时做好员工的安全意识培训，甄选数字风险合作伙伴，将数字风险防护融入到日常工作流程中。