盲目自信还是面子？ISACA最近的一项调查显示，新加坡和马来西亚被指控夸大网络安全能力

两个东南亚国家的公司低估了威胁程度，或夸大了他们的防御能力。这大部分是为了面子，但网络安全能力差距也是真实存在的。ISACA最新发布的一项调查显示，与世界其他地区的企业相比，新加坡、马来西亚和印度的企业非常有信心在网络攻击中幸存下来。但事实证明，这种信心未必是有根据的，尤其是对新加坡和马来西亚的企业而言。提供安全培训和咨询服务的ISACA在2020年底对全球3,659人进行了调查，其中154名受访者来自马来西亚和新加坡，其中65%的受访者来自员工超过1,500人的组织；210名受访者，其中80%来自拥有超过1,500名员工的组织。对防御的信心在很大程度上符合网络攻击预期——马来西亚和新加坡除外在马来西亚和新加坡，只有33%的受访者预计他们的组织在明年会遭受网络攻击。同样，很少有印度企业(29%)预计明年会遭受网络攻击。相比之下，46%的非洲受访者和58%的英国受访者预计他们的组织将在明年遭受网络攻击。（非洲有119名受访者，其中55%就职于员工超过1,500人的组织。英国有112名受访者，其中63%就职于员工超过1,500人的组织。）新加坡和马来西亚的受访者其中，67%的受访者表示他们对其网络安全团队检测和响应网络威胁的能力充满信心。在印度受访者中，69%的人有信心。相比之下，非洲的置信度为75%，英国为81%。那么问题来了，为什么与其他地区的同行相比，马来西亚、新加坡和印度的企业对自己抵御网络攻击的能力信心相对较低，反而认为自己更不容易受到网络攻击？ISACA内容开发高级总监KarenHeslop“很难确切知道是什么导致了印度、新加坡和马来西亚的信心不足，但他们对其安全团队的信心可能是一个因素，因为对安全团队的信心不足通常会导致更多更多的担心。出于同样的原因，对安全团队的更多信心通常意味着更少的担心。虽然印度的总体信心水平(69%)与马来西亚和新加坡(67%)相似，但赫斯洛普指出，46%的印度企业“完全或非常有信心”，而马来西亚和新加坡的这一比例为27%。这个数据也说明了一个事实，即印度企业不太关心自己的网络攻击。此外，32%的非洲企业和37%的英国企业表示对自身抵御网络攻击的能力完全或非常有信心。预计比例会更高。这也让新加坡和马来西亚的数据不那么可信。一方面，他们对自己防御网络攻击的能力信心不足，另一方面，他们觉得未来遭受网络攻击的可能性很小。是不是什么也解释不了。是盲目自信还是面子？新加坡数字风险咨询公司Veqtor8的创始人AndrewMilroy认为，新加坡和马来西亚的数据出现偏差很可能与网络安全专业人士在回答问题时想要尽力而为有关。说得有点相关。他说：“目前，ISACA正在报告其调查结果。调查受访者完全有可能误解问题，根据自己的信念而不是事实做出回答，或者为了不给人留下不好的印象而对结果进行着色，从而导致数据不准确。他们在调查中可能确实过于自信，这是可以理解的——人们不想给人留下不自信的印象，尤其是在新加坡。但实际上，他们的防御水平漏洞百出。所有企业都面临着比以往更大的风险，而且很少有企业能够很好地管理它。东南亚企业应采取哪些措施加强网络安全无论受访者是盲目自信还是面子，东南亚企业确实需要提升网络安全防御能力。总部位于新加坡和印度的网络安全公司Haltdos的董事长AshishSaxena表示，“在过去的18个月里，东南亚的网络攻击显着增加，尤其是在COVID-19大流行期间。”但网络安全投资并没有保持增长步伐。IBM东盟集成安全主管DerekTay说：“就ISACA研究中提出的观点而言，我可以分享我们最近的《2021年数据泄露成本报告》研究的结果，因为企业组织必须更多地转向基于云的活动，并要求他们的员工远程工作以应对大流行，对安全能力的投资已经滞后。”Saxena表示，网络攻击的增加主要是由于远程工作的增加及其对远程连接的依赖。如今大多数员工和第三方员工都使用WindowsRDP（远程桌面协议）、AnyDesk和WindowsTeamViewer等实用程序，但这些程序甚至缺乏强大的密码保护，这也会导致攻击者在服务器访问权限上出现后门，从而增加恶意软件在其他机器上传播的可能性，并在某些情况下导致勒索软件攻击。Saxena建议，对于组织而言，安全的远程访问应该通过多因素认证，在“最小权限”原则下提供。个人用户应该了解社会工程攻击的类型和作案手法，以免上当。Saxena还表示，Web应用程序是最前沿的任何网络攻击，因此保护Web应用程序对任何组织都至关重要。因此，除了安全te在应用程序方面，Web应用防火墙也是企业组织应该采用的理想技术解决方案。IBM的Tay表示，“IBM的研究还表明，由于大流行期间运营发生了巨大变化，安全事件的成本变得更高，也更难控制。在东盟，金融业受影响最大，平均损失400万美元，其次是服务业和科技业。在新加坡，每次事故的成本可能超过500,000美元。我们的研究表明，在东盟，以人为本的控制——例如董事会级别的监督和事件响应程序的广泛测试——是降低数据泄露成本的两种最有效的方法。此外，实施加密、人工智能平台和安全分析等技术控制也有助于降低网络攻击的成本。不幸的是，企业需要应对多重经济“挑战，在某种程度上，技术、流程和人力资源可能只适用于大型企业。中小企业在应对网络攻击方面仍有很多工作要做。”Veqtor8的Milroy还警告说，ISACA的一些调查结果和建议可能不会对企业产生很大的激励作用，尤其是在涉及声誉损失的成本时。他认为，声誉受损并不是大多数点公司主要关心的问题。新加坡的许多公司（如大华银行、Grab和许多其他公司）都遭到黑客攻击，但这并没有严重影响他们的声誉。他们更担心因停电或违规处罚而导致的运营成本。参考资料：csoonline