智能应用 影音
德州仪器
DFourm0708

Sophos调查显示勒索软件事件激增 企业仍认为公司不会受攻击

  • 吴冠仪台北

Sophos是新一代网络安全领域的全球领导者,发表和研究机构Tech Research Asia(TRA)合作进行的《亚太地区和日本网络安全未来》第三版调查报告。该研究表明,尽管勒索软件的发生率、影响和成本不断上升,但企业高层缺乏对网络安全的认识,并普遍认为公司永远不会受到攻击。

尽管过去一年亚太地区和日本(APJ)的企业在网络安全支出和成熟度方面有所提升,但只有40%的受访公司认为经营团队真正了解网络安全。最令网络安全专业人员气馁的,是经营团队和高端主管认为自身企业永远不会受到攻击。60%的受访者亦为网络安全厂商没有提供教育高端主管所需的信息,88%的公司同意未来24个月最大的安全挑战将是提升员工和经营团队的警觉性和教育。

持续进行教育和宣传,可以解决日本地区与亚洲企业最在意的两个攻击管道:网络钓鱼或网络捕鲸攻击,以及员工凭证薄弱或遭骇的问题。

Sophos亚太地区和日本全球解决方案工程师Aaron Bugal表示,勒索软件攻击变得越来越复杂,企业需要一个真正且可执行的网络安全教育计划。目前在网络安全策略方面看到的循环是被攻击、改变、被攻击、改变…,这对网络安全团队是不利的。提升优先事项的重要性必须从企业最高层开始,并且需要高端主管的带领,包括对整个企业进行安全认知和教育。

该调查还强调,网络安全专业人员面临着各种挑战和挫折,其中大部分与安全意识、洞察力、信息传递和教育有关。而三个最感到挫折的地方是:高端主管和经营团队不了解攻击的可能性,并且没有做出适当的反应、缺乏有经验的安全专家、高端主管过度依赖「恐惧和怀疑」的信息,难以教育。

Bugal表示,今年,网络安全专业人员还是受到许多挫折,许多人觉得他们的警告和信息被置若罔闻。除了缺乏熟练的安全专家外,其实只要从高端主管和经营团队层面开始着手,教育和警觉性计划可以克服掉许多其他挫折。网络安全专业人员面临的挑战,是公司经营者不够了解安全性,因此比较不会投资必要的计划来缓解这些问题。

网络安全教育是重中之重。以下是帮助企业加快网络安全教育的五个步骤:一、帮助经营团队了解不可能保护一切,要学会优先考虑最需保护的关键信息、数据和系统。二、应向所有员工提供关于基本原则、攻击的真实面貌、攻击管道、威胁行为者和其他术语的培训课程。 三、一旦明确定义了这些基础,企业就需要制定策略并与整合数码转型计划。 四、然后,让企业变得更具回应能力:套用法规、违规回应协议、赎金支付政策、缺口评估,以及未来的角色和义务。五、企业需要清楚地了解营运的监管环境、违规时的法规要求为何,以及数据安全和管理的适当控制措施。