Sophos调查显示勒索软件事件激增 企业仍认为公司不会受攻击

Sophos是新一代网络安全领域的全球领导者，发表和研究机构Tech Research Asia(TRA)合作进行的《亚太地区和日本网络安全未来》第三版调查报告。该研究表明，尽管勒索软件的发生率、影响和成本不断上升，但企业高层缺乏对网络安全的认识，并普遍认为公司永远不会受到攻击。

尽管过去一年亚太地区和日本(APJ)的企业在网络安全支出和成熟度方面有所提升，但只有40%的受访公司认为经营团队真正了解网络安全。最令网络安全专业人员气馁的，是经营团队和高端主管认为自身企业永远不会受到攻击。60%的受访者亦为网络安全厂商没有提供教育高端主管所需的信息，88%的公司同意未来24个月最大的安全挑战将是提升员工和经营团队的警觉性和教育。

持续进行教育和宣传，可以解决日本地区与亚洲企业最在意的两个攻击管道：网络钓鱼或网络捕鲸攻击，以及员工凭证薄弱或遭骇的问题。

Sophos亚太地区和日本全球解决方案工程师Aaron Bugal表示，勒索软件攻击变得越来越复杂，企业需要一个真正且可执行的网络安全教育计划。目前在网络安全策略方面看到的循环是被攻击、改变、被攻击、改变…，这对网络安全团队是不利的。提升优先事项的重要性必须从企业最高层开始，并且需要高端主管的带领，包括对整个企业进行安全认知和教育。

该调查还强调，网络安全专业人员面临着各种挑战和挫折，其中大部分与安全意识、洞察力、信息传递和教育有关。而三个最感到挫折的地方是：高端主管和经营团队不了解攻击的可能性，并且没有做出适当的反应、缺乏有经验的安全专家、高端主管过度依赖「恐惧和怀疑」的信息，难以教育。

Bugal表示，今年，网络安全专业人员还是受到许多挫折，许多人觉得他们的警告和信息被置若罔闻。除了缺乏熟练的安全专家外，其实只要从高端主管和经营团队层面开始着手，教育和警觉性计划可以克服掉许多其他挫折。网络安全专业人员面临的挑战，是公司经营者不够了解安全性，因此比较不会投资必要的计划来缓解这些问题。

网络安全教育是重中之重。以下是帮助企业加快网络安全教育的五个步骤：一、帮助经营团队了解不可能保护一切，要学会优先考虑最需保护的关键信息、数据和系统。二、应向所有员工提供关于基本原则、攻击的真实面貌、攻击管道、威胁行为者和其他术语的培训课程。 三、一旦明确定义了这些基础，企业就需要制定策略并与整合数码转型计划。 四、然后，让企业变得更具回应能力：套用法规、违规回应协议、赎金支付政策、缺口评估，以及未来的角色和义务。五、企业需要清楚地了解营运的监管环境、违规时的法规要求为何，以及数据安全和管理的适当控制措施。