pwc -网络安全实战手 册（针对初创企 业）

微信扫码，打开到小程序

2024年11月 www.acv.vc 网络安全实战手 册（针对初创企 业） 雅加达： 繁荣大厦 lv.37，第八区，SCBD地块28，印尼雅加达 Jl. Jend Sudirman Kavling 52-53，邮政编码（12190）印度尼 西亚 新加坡： 大厅，世纪塔，3 Temasek Ave #18, 17-28，新加坡（039190） 普华永道免责声明 Indra Allen是PwC印度尼西亚的合伙人。 作者 © 2024 PwC. 所有权利保留。 本出版物仅作为对相关事项的一般性指导，并不构成专业建议。在获取具体专业建议之前，您不应依据本出版物中的信息采取任何行动 。关于本出版物中包含的信息的准确性或完整性，不提供任何明示或暗示的保证或担保，并且在法律允许的范围内，PwC印度尼西亚及 其成员、雇员和代理不对您或任何其他人依据本出版物中的信息采取行动或因依赖该信息而未采取行动的任何后果承担责任或义务。 PwC 印尼由KAP Rintis、Jumadi、Rianto & Rekan，PT PricewaterhouseCoopers Indonesia Advisory，PT Prima Wahana Caraka， PT PricewaterhouseCoopers Consulting Indonesia，以及PwC Legal Indonesia组成，每个都是独立的法律实体，它们共同构成PwC 全球网络的印尼成员公司，统称为PwC 印尼。 文件或从普华永道获得的信息，未经我们事先书面许可，不得全部或部分提供给任何其他人员/当事人。我们可能自行决定是否授予 许可、拒绝许可或附条件地授予许可（包括有关法律责任或其不存在之条件）。 萨米拉·希哈布 是AC Ventures的价值创造部 门负责人。 安杰洛·维贾亚 是一名AC风险投资的 增值专业人士 本尼·塞蒂亚迪 是普华永道印度尼西亚的风险 保证高级经理 Roro Astuti 他是普华永道印度尼西亚的一位资深经 营管理顾问。 安德烈·特里塔贾亚 是印度尼西亚普华永道（PwC I ndonesia）的风险保证总监 普华永道（PwC）指的是普华永道网络及其/或其一个或多个成员公司，每家成员公司都是一个独立的法律实体。请访问http:/ /www.pwc.com/structure以获取更多详细信息。 罗丝琳·维佳雅 是印尼普华永道（PwC Indonesi a）的风险保证高级 associate。 普拉蒂·纳里莎里 是一位普华永道印度尼西亚的风 险保障助理。 苏比安托 是一位普华永道印度尼西亚的 合伙人、首席数字与技术官。 x 网络安全操作手册，适用于初创企业 网络安全手册：初创企业 2 04 12 29 04. 创业公司核心网络安全原则 20 01. 引言 06 06. 展望未来 35 02. 铺设舞台 09 前言 目录 第三章 理解网络安全威胁态势 05. 制定网络安全策略 x 网络安全操作手册，适用于初创企业 网络安全手册为初创企业 3 苏比安托 Indra Allen 在探索这一复杂领域时，仅仅投资先进技术是不够的。它需要一种包含人员、 流程和技术的全面方法。随着生成式人工智能的出现，网络安全领域有望进一 步演变，带来新的威胁和创新的防御机制。PwC2024年全球数字信任洞察报告 的见解为那些旨在提升其网络安全态势并保护其数字资产的公司提供了一个至 关重要的指南。 在数字化转型的时代，以史无前例的速度加速发展，全球范围内的企业都将网 络安全管理视为一项关键关切。随着我们步入2025年，优先考虑网络安全的紧 迫性不容忽视，尤其是对于初创企业而言。新兴企业，专注于创新和增长，在 保护其数字资产免受日益复杂的网络威胁方面面临独特的挑战。根据普华永道 （PwC）2024年全球数字信任洞察报告，数据泄露的频率和财务影响正以令人 担忧的速度上升。 我们感谢AC Ventures为我们印尼PwC提供的机会，使其成为AC Ventures的 知识伙伴。我们自豪地支持了AC Ventures，通过出版这份针对初创企业的网 络安全手册，并最重要的是，为提高印度尼西亚的网络安全态势做出了贡献 。 我们相信这个操作手册可以是一个宝贵的信息来源和参考，对于初创企业来说 。我们也向所有抽出时间为此手册出版做出贡献的各方表示衷心的感谢。 合作伙伴，首席数字与技术官，普华永道印度 尼西亚 前言来自PwC 印度尼西亚 x 网络安全操作手册，适用于初创企业 网络安全实战手册 4 合作伙伴，普华永道 印度尼西亚 萨米拉·希哈布 潘杜·沙吉尔 序言 自AC起 风险投资 创始人合伙人， AC风险投资 这导致我们与PwC印度尼西亚合作，共同撰写这份针对初创公司的网络安全手册 。该手册解释了为什么初创公司需要从一开始就优先考虑网络安全，提供了指导 ，并概述了构建网络安全框架的可操作步骤。 我们的与PwC印度尼西亚的合作汇集了两家领先组织的优势：从AC Ventures 对印度尼西亚创业生态系统的深入理解中汲取洞见，以及PwC在全球范围内的 广泛网络安全专业知识。这一合作伙伴关系反映了我们共同对网络安全治理的 承诺。 我们向PwC印度尼西亚表示衷心的感谢，感谢我们长期以来的合作伙伴关系。我 们希望这份操作手册能够为印度尼西亚充满活力且持续增长的初创企业生态系统 做出贡献，加强其抵御网络攻击的能力，并帮助初创企业为其业务建立一个安全 且可持续的基础。 最近18个月科技领域的发展令人惊叹。其中最具颠覆性的进展之一是在生成式人 工智能领域，这不仅影响了科技行业，也对更广泛的企业界产生了影响，但其全 部影响仍待观察。 在同一时间段内，我们观察到的另一趋势是全球范围内网络安全事件的增加，影 响了全球企业和我们更接近的印尼本地公司。在AC Ventures，我们认识到网络 安全对于保护我们投资组合公司的数据、运营和声誉至关重要。我们对网络安全 的这一承诺是我们更广泛治理努力的一部分，确保我们的投资组合公司保持安全 。 主要创始人兼价值创造总监，AC Vent ures x 网络安全操作手册，适用于初创企业 网络安全初创企业手册 5 7 01 x 网络安全操作手册，适用于初创企业 网络安全操作手册，适用于初创企业 简介 不幸的是，对于一些初创企业来说，只有在经历了数据泄露、钓鱼攻击或系统黑 客等事件之后，网络安全才会成为优先事项。因此，网络安全往往被降级为较低 优先级，通常被视为次要关注点。 然而，这种自满的成本可能巨大。根据普华永道（PwC）的2024年《全球数字信 任洞察报告》， 在医疗保健、科技媒体和电信、金融服务、能源、公用事业和资 源、工业和汽车以及零售和消费者等领域，数据泄露平均造成的损失约为150亿 印尼盾。 大型数据泄露事件在频率、规模和成本上都在不断增加，过去三年内， 有36%的公司报告称数据泄露相关的成本达到100万美元或更多，比前一年增加 了27%。此外，普华永道2024年年度企业董事调查指出，64%的董事会增加了其 分配给网络安全问题的时间。 随着初创企业成长和成熟，它们越来越意识到网络安全的重要性，这通常是由 更丰富的财务资源或扩展的技术团队所驱动。在一些公司中，这导致成立了专 门的信息技术或安全团队。 尽管其重要性不容忽视，网络安全问题往往被初创企业所 忽视。这是可以理解的，因为早期初创企业通常会更多地 关注构建商业基础和开发他们的产品。他们大部分时间都 用于研究市场、识别空缺、理解客户需求以及完善他们的 产品。 x 网络安全操作手册，适用于初创企业 网络安全手册：初创公司 7 ! 在接下来的几页中，以下是您可以从这份剧本中期待的内容： 在这一背景下，AC风险投资公司正与PwC印度尼西亚合作编撰这本针对初创公司的网络安全手册。 我们采访了数位首席技术官（CTO）、首席信息与技术官（CITO）以及AC风险投资公司旗下科技和 工程部门的负责人，以收集有关初创公司所面临网络安全挑战的首次手资料。您将在这份手册中发现 他们的一些见解。 目标是为初创企业提供一本实用指南，帮助它们建立稳健的网络安全态势。我们理解资源可能有限，而 关注增长可能会使分配足够的注意力于网络安全变得具有挑战性。因此，本指南旨在提出可操作的观点 和策略，这些观点和策略可扩展且适用于处于不同成熟阶段的初创企业。 制定定制化的网络安全策 略 核心网络安全原则 到本指南的结尾，我们希望您对网络安全领域有更清晰的认识，并配备了所需的知识和工具，以 保护您的初创企业免受潜在威胁。 x 网络安全操作手册，适用于初创企业 网络安全手册：为初创公 司提供8个方案 监管合规与数据保护 面临初创企业的常见网络 安全威胁 10 10 02 x 网络安全操作手册，适用于初创企业 网络安全操作手册，适用于初创企业 为舞台做铺垫 23% 23% 9% 9% 4% 4% 16% 16% 7% 7% 4% 4% 2024 2023 来源：普华永道2024年全球数字信任洞察 来源：普华永道2024年全球数字信任洞察 百分比表示有100万美元以上泄露的人数：2024年总计=36%，2023年总计=27% 医疗保健 科技，媒体 电讯 金融 服务 工业 & 汽车 零售 & 消费者 能源， 公共事业& 资源 过去三年内组织最严重的数据泄露事件的预估成本 100万 - 900万 1000万美元 - 1900万美元 2000万美元或更多 此外，普华永道（PwC）2025年全球数字信任洞察报告确定了五个最令人担忧的网络安全威胁——云 相关威胁、黑客攻击和泄露操作、第三方安全漏洞、针对连接产品的攻击和勒索软件——正是那些安 全主管们感觉最缺乏准备去应对的威胁。这一差距凸显了改善投资和增强应对能力的紧迫需求。 平均一次重大数据泄露的代价对公司来说非常巨大。对于医疗保健行业，成本约为530万美元，而对 于技术、媒体和电信（TMT）行业，成本约为480万美元，金融服务行业的成本大约为500万美元。 这些违规行为的成本一直在上升。同一份报告指出，从2023年到2024年，成本有所上升。 平均每次数据泄露的成本（以百万计）以及造成1000万美元或以上损失的最具破坏性数据 泄露所占的百分比，按行业划分 x 网络安全操作手册，适用于初创企业 网络安全手册：初创企业1 0 42% 42% 38% 38% 35% 35% 33% 33% 27% 27% 34% 34% 25% 25% 28% 28% 31% 31% 25% 25% 85% 来源：普华永道2025年全球数字信任洞察 来源：普华永道2024年全球数字信任洞察报告。 网络威胁担忧与应对准备 展示排名前3的百分比（%） CISO/CSO领导者是 更有可能排名 勒索软件位居其首 三个最令人担忧的 网络威胁（42%）* 勒索软件 云相关的 威胁 黑客攻击与泄露 运营 第三方 违约 攻击连接设备 产品 最令人担忧的网络安全威胁 网络威胁最缺乏准备应对 与全球27%相比 9个分离度：顶级表现者与其他人相比 顶级5%的人更有可能： 前5%是： 6倍可能性 已拥有 实施了变革性的 网络安全倡议 正在实现收益 投入更多于网络预算，超过 2024年增加其网络安全预算。 与79%相比 总体而言），其中19%的企业增加网络安全预算 到2024年增长15%或更多，与整体10%的增长相比。 5倍可能 非常满意 拥有他们当前的网络技术 能力。 说他们的 最严重的网络入侵 在上一次 三年来的成本低于10万美元（28%对比19%） 总体上）。 强烈同意他们的 组织将开发新的 业务线使用通用人工智能 （49% 比 33% 总体）。 4倍可能性 需持续更新 他们的风险管理计划以减轻 云风险。 计划部署通用人工智能工具 对于网络防御（44%） 与27%）相比。 不同意 那“GenAI将导致一场灾难性的” 网络攻击（33% 比 22% 总体）。 网络威胁不仅针对大公司，也针对初创企业。考虑到它们常常在快速的环境中进行运营，这种环境对 知识产权保护、客户数据保护以及维护股东信任至关重要，初创企业尤其容易受到网络安全的攻击。 初创企业尤其脆弱，因为它们通常缺乏大型企业的强大安全基础设施。一次成功的网络攻击可能会扰 乱业务运营，导致停机、生产力下降以及重大修复成本。普华永道的研究发现突出了顶尖表现者在网 络安全立场方面与其他企业区分开来的因素： x 网络安全操作手册，适用于初创企业 网络安全手册 для初创公 司 11 9倍的可能性 在他们的网络安全韧性实践方 面达到成熟水平。 13 13 03 x 网络安全操作手册，适用于初创企业 网络安全操作手册，适用于初创企业 理解： 网络安全威胁 景观 0% 70% 60% 50% 40% 30% 20% 10% 5% 65% 55% 45% 35% 25% 15% 67% 67% 66% 66% 58% 58% 54% 54% 42% 42% 技术影响网络安全攻击面* 来源：普华永道2025年全球数字信任洞察 生成式人工智能 云计算技术（无论是多云还是单云） 连接产品 运营技术（OT） 量子计算 同样扩大攻击面的还有其他技术，如连接设备和运营技术（OT），这将影响制造业、医疗保健和能源 等行业。随着更多设备实现互联，保护这些系统变得越来越困难。此外，尽管量子计算仍处于前景， 但42%的安全主管报告称，它已经迫使他们解决漏洞。 现在，让我们深入探讨构成网络安全威胁的因素以及生成式人工智能（67%）和云计算技术（66% ）的作用。 景观正在演变。值得注意的是，在过去一年中，网络攻击面已扩大，这使得公司更容易受到复杂威 胁的侵害。通用人工智能（GenAI）还可以降低不太复杂的威胁行为者的进入壁垒，使他们能够大 规模地制定有效的网络钓鱼攻击和深度伪造。 x 网络安全操作手册，适用于初创企业 网络安全初创公司操作手 册 13 展示选择“显著增加”或“略有增加”的合计百分比 Q4。在过去12个月内，以下技术对您IT环境中的网络攻击面产生了多大影响？基础：安全领导 者 = 1762 普华永道洞察：常见网络攻击 来源：普华永道《监管网络安全风险：董事会的角色》 电子邮件 账户 妥协 勒索软件是一种主要且日益增长的威胁。企业 应加强防御并发展事件响应措施 计划，以及应对相关问题的操作手册 勒索软件攻击。勒索软件犯罪分子数量正在增加， 吸引新的网络人才、创新恶意软件和采取行动 在未受惩罚的情况下。领先公司正在投资于网络安全。 弹性能力，限制潜在影响的潜力 勒索软件和促进更有效的恢复技术。 存在一些常见的网络攻击，这些攻击可以针对网络攻击面进行，包括电子邮件攻击、软件供应链破 坏、账户破坏和勒索软件。以下是这些网络威胁的详细见解。 这涉及到利用广泛使用的软件中已知漏洞，从而为网络内系统提供广 泛的访问权限。商业软件和开源软件都可能成为目标。公司应维护详 尽的软件资产清单和“软件物料清单”，列出软件组件，以便快速识别 需要修补和监控受影响系统的地方。 鱼叉式网络钓鱼和企业电子邮件诈骗仍然是有效的手段，因为员工/ 用户容易受到诱饵的吸引。对员工、承包商和第三方进行关于欺诈 活动的培训和意识提升可以帮助保护公司。 随着网络攻击、云服务泄露和社会工程方案的增多，以下是一些威胁行为者发起攻击的常见方 式。 这指的是使用暴力破解方法或从外部来源获得的凭证。由于公司缺乏使 用多因素认证，威胁行为者往往能取得成功。 x 网络安全操作手册，适用于初创企业 网络安全实战手册 14 ! 勒索软件 软件供应链妥协 AC Ventures的视角 x 网络安全操作手册，适用于初创企业 网络安全手册：针对初创 企业（15） 在AC风险投资公司，我们认识到网络攻击对初创企业所提出的挑战——无论是全球范围内的还 是更接近我们本土的。这些事件可能导致财务损失、声誉损害以及客户信任的潜在丧失，所有 这些都构成了重大的障碍。对于初创企业来说，意识到这些风险并采取主动、周到的措施来应 对它们，而不是等到反应，这一点至关重要。 通过与我们的投资组合公司紧密合作，我们看到了主动方法和明智的决策如何显著加强初创企 业的网络安全并保护其关键资产。” 密码质量差并不属于最大的密码相关安全威胁。 钓鱼攻击 恶意软件攻击 网络安全卫生薄弱 02 钓鱼攻击仍然是最常见的网络威胁之一。攻击者利用欺骗性的电子邮件、消息或网站诱骗个 人泄露敏感信息，如登录凭证或财务详情。在初期阶段，初创公司由于缺乏复杂的网络安全协议，特 别容易受到钓鱼攻击。钓鱼攻击对新兴企业构成重大威胁，这些企业通常缺乏全面的安全防护工具， 例如通过密码管理器访问专属资源或在整个应用程序中使用多因素认证。除了简单的凭证盗窃外，钓 鱼攻击还可能成为更严重网络犯罪的门户，包括部署勒索软件、建立未经授权的访问点以及策划供应 链漏洞。 03 内部脆弱性带来重大风险。员工可能有意或无意地泄露敏感数据或允许网络犯罪分子获取未授 权访问，导致数据泄露。缺乏定期软件更新和不足的安全措施创造了网络犯罪分子可以利用的漏洞。 01 恶意软件，包括病毒、蠕虫和特洛伊木马，会渗透系统以干扰操作、窃取信息或非法访问。 如果未被发现，这些恶意程序可能会造成重大损害。 网络犯罪分子利用这一机会，发起各种攻击，包括钓鱼、恶意软件、勒索软件、数 据泄露和拒绝服务攻击。以下是对常见网络威胁类型的解释： x 网络安全操作手册，适用于初创企业 网络安全操作手册，适用 于初创企业 16 04 糟糕的密码使用习惯 密码被重复使用 - 使用单一密码登录多个账户的行为，使得黑客能够将窃取的电子邮件和密码组合 输入大量应用程序中，以获得未经授权的访问权限。 密码以明文形式共享。 分享敏感的个人数据，包括但不限于以明文形式呈现的登录凭证，可能导 致通过网络嗅探、中间人攻击和邪恶孪生攻击窃取此类数据。 密码频繁被遗忘并手动重置。 - 当您点击“忘记密码”按钮以通过第三方应用程序重置您的账户密码 时，存在微小的可能性，您通过电子邮件收到的链接是恶意的，您在点击它时可能会下载一些恶意 软件。这可能会危害您的系统，窃取您的数据，或为其他攻击打开后门。 06 分布式拒绝服务（DDoS）是初创公司的世界噩梦。 社会工程学与账户接管攻击 勒索软件 安全挑战正在演变。黑客现在拥有更多复杂的自动化工具来识别易受攻击的企业。DDoS攻击的持续 时间更长，使用了更多的机器人。钓鱼网站每天都在变得越来越好。小型企业不能期望仅因为他们规 模小就能避免安全事件。 密码管理器并非所有工作场所的强制性要求。 一款强大的密码管理器可以缓解初创企业几乎 所有与密码相关的威胁。它可以自动化登录过程，消除创建和记忆密码的需求，通过加密保 护所有登录细节，并防止钓鱼尝试。 勒索软件攻击可以通过电子邮件附件发送载荷、利用注入漏洞或网站上的弱输入验证，或者利用过 时/易受攻击的软件应用程序来实施。如果已存在特定勒索软