Sophos 調查顯示儘管勒索軟體事件激增，企業高層仍認為公司永遠不會遭到攻擊

Sophos 是新一代網路安全領域的全球領導者，今天發表和研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區和日本網路安全未來》第三版調查報告。該研究表明，儘管勒索軟體的發生率、影響和成本不斷上升，但企業高層缺乏對網路安全的認識，並普遍認為公司永遠不會受到攻擊。

網路安全教育是一個問題，且必須從高層開始

儘管過去一年亞太地區和日本 (APJ) 的企業在網路安全支出和成熟度方面有所提升，但只有 40% 的受訪公司認為經營團隊真正了解網路安全。最令網路安全專業人員氣餒的，是經營團隊和高階主管認為自身企業永遠不會受到攻擊。

60% 的受訪者亦為網路安全廠商沒有提供教育高階主管所需的資訊，88% 的公司同意未來 24 個月最大的安全挑戰將是提升員工和經營團隊的警覺性和教育。

持續進行教育和宣傳，可以解決日本地區與亞洲企業最在意的兩個攻擊管道：網路釣魚或網路捕鯨攻擊，以及員工憑證薄弱或遭駭的問題。

Sophos 亞太地區和日本全球解決方案工程師 Aaron Bugal 表示：「勒索軟體攻擊變得越來越複雜，企業需要一個真正且可執行的網路安全教育計畫。目前我們在網路安全策略方面看到的循環是『被攻擊、改變、被攻擊、改變……』，這對網路安全團隊是不利的。提升優先事項的重要性必須從企業最高層開始，並且需要高階主管的帶領，包括對整個企業進行安全認知和教育。」

人才短缺繼續造成嚴重問題

人才短缺仍然是該地區企業的關注重點。73% 的受訪公司預計在未來 24 個月不容易招聘到網路安全員工；26% 的人預計會遇到重大挑戰。

隨著招聘不易，企業也紛紛訂出他們認為需要優先增加人員和能力的領域。包括：

• 雲端安全政策和架構

• 「教育」員工和高階主管的網路安全培訓技能

• 軟體弱點測試

• 及時了解最新威脅

• 政策合規性和報告

網路安全專業人員的最大挫折

該調查還強調，網路安全專業人員面臨著各種挑戰和挫折，其中大部分與安全意識、洞察力、資訊傳遞和教育有關。而三個最感到挫折的地方是：

1. 高階主管和經營團隊不了解攻擊的可能性，並且沒有做出適當的反應

2. 缺乏有經驗的安全專家

3. 高階主管過度依賴「恐懼和懷疑」的資訊，難以教育

網路安全專業人員遇到的其他挫折包括：

• 高階主管認為無法阻止攻擊

• 無法跟上安全威脅的腳步

• 沒有足夠的投資和時間來培訓一般員工

Bugal 表示：「今年，網路安全專業人員還是受到許多挫折，許多人覺得他們的警告和資訊被置若罔聞。除了缺乏熟練的安全專家外，其實只要從高階主管和經營團隊層面開始著手，教育和警覺性計畫可以克服掉許多其他挫折。網路安全專業人員面臨的挑戰，是公司經營者不夠了解安全性，因此比較不會投資必要的計畫來緩解這些問題。

「問題不在於技術，而在於教育。除非企業能由上而下地了解網路攻擊對企業能力、客戶和本身造成的嚴重威脅，否則增加網路安全支出將無濟於事。」

網路安全教育是重中之重。以下是幫助企業加快網路安全教育的五個步驟：

1. 幫助經營團隊了解不可能保護一切，要學會優先考慮最需保護的關鍵資訊、資料和系統。

2. 應向所有員工提供關於基本原則、攻擊的真實面貌、攻擊管道、威脅行為者和其他術語的培訓課程。

3. 一旦明確定義了這些基礎，企業就需要制定策略並與整合數位轉型計畫。

4. 然後，讓企業變得更具回應能力：套用法規、違規回應協議、贖金支付政策、缺口評估，以及未來的角色和義務。

5. 企業需要清楚地了解合規性、營運的監管環境、違規時的法規要求為何，以及資料安全和管理的適當控制措施。

關於此研究

Sophos 委託 Tech Research Asia (TRA) 對亞太地區和日本的網路安全形勢進行了一項研究。該研究包括一次大型調查，在澳洲、印度、日本、馬來西亞、菲律賓和新加坡共收集了 900 份回覆。

關於 Sophos

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。

關於 Tech Research Asia

TRA 是一家快速發展的 IT 分析、研究和諮詢機構，在雪梨、墨爾本、新加坡、吉隆坡、香港、東京擁有經驗豐富的多元化團隊。我們為亞太地區的高階主管技術買家和廠商提供建議。我們嚴謹、基於事實，開放且透明。我們提供研究、顧問、參與和諮詢服務。並針對希望利用現代科技的高階主管和其他領導者所關注的重要問題、趨勢和戰略進行自己的獨立研究。TRA 還出版公開的線上期刊 TQ。 www.techresearch.asia