盲目自信还是要面子?新加坡和马来西亚被指夸大网络安全能力
ISACA最近的一项调查显示,新加坡和马来西亚这两个东南亚国家的企业低估了威胁水平,或者说夸大了他们的防御能力。发生这种情况的原因大多是为了面子,但是网络安全能力差距也是真实存在的。
根据最新发布的ISACA调查显示,与世界其他地区的企业相比,新加坡、马来西亚和印度的企业非常有信心能够逃脱网络攻击。但是事实证明,这种信心可能没有充分的根据,尤其是对新加坡和马来西亚企业而言。
提供安全培训和咨询服务的ISACA在2020年底对全球3,659人进行了调查,其中154名受访者来自马来西亚和新加坡,这些受访者中65%的人来自拥有超过1,500名员工的组织;印度有210名受访者,其中80%来自拥有1,500多名员工的组织。
对防御的信心很大程度上与网络攻击预期相符——马来西亚和新加坡除外
在马来西亚和新加坡的受访者中,只有33%的人预计他们的组织将在明年遭遇网络攻击。同样,很少有印度企业(29%)预计明年会遭受网络攻击。相比之下,46%的非洲受访者和58% 的英国受访者预计他们的组织将在明年遭遇网络攻击。(非洲有119名受访者,其中55%所在的组织超过1,500人。英国有112名受访者,其中63%所在的组织有1,500名或更多员工。)
在新加坡和马来西亚的受访者中,67%的人表示他们对其网络安全团队检测和应对网络威胁的能力充满信心。在印度受访者中,69%的人对此充满信心。而相比之下,非洲的信心水平为75%,英国为81%。
那么问题来了,为什么与其他地区同行相比,马来西亚、新加坡和印度企业对自身抵御网络攻击能力的信心相对较低,却反倒认为自身不太可能遭受网络攻击呢?
ISACA内容开发高级总监Karen Heslop解释称,
“我们很难确切地知道是什么导致了印度、新加坡和马来西亚信心偏低的情况,但他们对其安全团队的信心可能是一个因素,因为对安全团队的信心较低通常会导致更多的担忧。同理,对安全团队更加放心往往意味着更少的担忧。”
尽管印度的整体信心水平(69%)与马来西亚和新加坡(67%)相似,但Heslop指出,印度企业“完全或非常有信心”的比例为 46%,而马来西亚和新加坡仅为27%。这一数据也解释了印度企业对自身遭受网络攻击的担忧降低的情况。
此外,32%的非洲企业和37%的英国企业表示对自身抵御网络攻击的能力完全或非常有信心,这两个地区明年的比例预计会更高。
这也使得新加坡和马来西亚的数据变得不太可信,它们一方面对自身抵御网络攻击的信心不足,另一方面又觉得未来遭受网络攻击的可能很低。这无论无何也解释不通。
是盲目自信还是为了面子?
总部位于新加坡的数字风险咨询公司Veqtor8的创始人Andrew Milroy认为,新加坡和马来西亚出现的数据偏差很可能与网络安全专业人士想要在回答问题时尽量说得体面点有关。他说,
“目前,ISACA正在报告其调查结果。调查受访者经常会误解问题,根据自身看法而非事实来作答,或者因为不想给人留下不好的印象而粉饰结果,造成数据不准确,这些都是完全可能发生的。他们可能确实对调查过于自信,这也不难理解——人们不想给别人一种不自信的印象,尤其是在新加坡。但是事实上,他们的防御水平漏洞百出。所有企业都面临着比以往更大的风险,而且很少在企业在管理风险方面做得到位。”
东南亚企业应采取哪些措施来强化网络安全
无论受访者是盲目自信还是面子主义,东南亚企业确实需要改善他们的网络安全防御能力。 位于新加坡和印度的网络安全公司Haltdos的董事长Ashish Saxena表示,
“在过去的18个月中,东南亚的网络攻击大幅增加,尤其是在COVID-19大流行期间。”
但网络安全投资却并未跟上节奏。IBM东盟集成安全负责人Derek Tay称,
“就ISACA研究中提出的观点而言,我可以分享我们最近的《2021年数据泄露成本报告》研究的调查结果,由于企业组织不得不通过更多地转向基于云的活动,并要求他们的员工远程工作来应对疫情大流行,因此对安全能力的投资出现了滞后的情况。”
Saxena表示,网络攻击的增加主要是由于远程工作及其对远程连接的依赖增加所致。如今,大多数员工和第三方员工都在使用Windows RDP(远程桌面协议)、AnyDesk和Windows TeamViewer等实用程序,但这些程序甚至缺乏强大的密码保护,这也导致为服务器上的攻击者提供了后门访问权限,从而增加了恶意软件在其他机器上传播的概率,并在某些情况下导致勒索软件攻击。
Saxena建议称,就企业组织而言,应该通过多因素身份验证在“最小访问权限”原则下提供安全的远程访问。就个人用户而言,应该了解社会工程攻击的类型及其作案手法,以免上当受骗。
Saxena还表示,Web应用程序是任何网络攻击的前线,因此保护Web应用程序对任何组织都至关重要。所以,除了应用程序的安全测试之外,Web应用程序防火墙也是企业组织应该采用的理想技术解决方案。
IBM的Tay称,
“IBM的研究还表明,由于大流行期间的剧烈运营变化,安全事件的成本变得更高且更难控制。在东盟,金融业受到的影响最大,每次数据泄露事件平均损失400万美元,其次是服务和科技行业。而在新加坡,每次事故的成本可能超过50万美元。我们的研究表明,在东盟,以人为本的控制措施——例如董事会层面的监督以及对事件响应计划的广泛测试——是降低数据泄露成本的两种最有效手段。此外,实施加密、人工智能平台和安全分析等技术控制也能够帮助降低网络攻击成本。不幸的是,企业需要应对多种经济挑战,并且在某种程度上,可能只有较大的企业才具备技术、流程和人力资源。中小型企业在应对网络攻击方面仍然需要付出很多努力。”
Veqtor8的Milroy还警告称,ISACA的一些调查结果和建议可能不会对企业产生很大的激励作用,尤其是在声誉受损成本方面。他认为,声誉受损并不是大多数公司的主要关注点。 新加坡的许多公司(例如大华银行、Grab和许多其他公司)都遭到过入侵,但并没有严重影响他们的声誉。他们更担心停电导致的运营成本或对违规行为的处罚。