盲目自信还是要面子？新加坡和马来西亚被指夸大网络安全能力

ISACA最近的一项调查显示，新加坡和马来西亚这两个东南亚国家的企业低估了威胁水平，或者说夸大了他们的防御能力。发生这种情况的原因大多是为了面子，但是网络安全能力差距也是真实存在的。

[[420592]]

根据最新发布的ISACA调查显示，与世界其他地区的企业相比，新加坡、马来西亚和印度的企业非常有信心能够逃脱网络攻击。但是事实证明，这种信心可能没有充分的根据，尤其是对新加坡和马来西亚企业而言。

提供安全培训和咨询服务的ISACA在2020年底对全球3,659人进行了调查，其中154名受访者来自马来西亚和新加坡，这些受访者中65%的人来自拥有超过1,500名员工的组织;印度有210名受访者，其中80%来自拥有1,500多名员工的组织。

对防御的信心很大程度上与网络攻击预期相符——马来西亚和新加坡除外

在马来西亚和新加坡的受访者中，只有33%的人预计他们的组织将在明年遭遇网络攻击。同样，很少有印度企业(29%)预计明年会遭受网络攻击。相比之下，46%的非洲受访者和58% 的英国受访者预计他们的组织将在明年遭遇网络攻击。(非洲有119名受访者，其中55%所在的组织超过1,500人。英国有112名受访者，其中63%所在的组织有1,500名或更多员工。)

在新加坡和马来西亚的受访者中，67%的人表示他们对其网络安全团队检测和应对网络威胁的能力充满信心。在印度受访者中，69%的人对此充满信心。而相比之下，非洲的信心水平为75%，英国为81%。

那么问题来了，为什么与其他地区同行相比，马来西亚、新加坡和印度企业对自身抵御网络攻击能力的信心相对较低，却反倒认为自身不太可能遭受网络攻击呢?

ISACA内容开发高级总监Karen Heslop解释称，

尽管印度的整体信心水平(69%)与马来西亚和新加坡(67%)相似，但Heslop指出，印度企业“完全或非常有信心”的比例为 46%，而马来西亚和新加坡仅为27%。这一数据也解释了印度企业对自身遭受网络攻击的担忧降低的情况。

此外，32%的非洲企业和37%的英国企业表示对自身抵御网络攻击的能力完全或非常有信心，这两个地区明年的比例预计会更高。

这也使得新加坡和马来西亚的数据变得不太可信，它们一方面对自身抵御网络攻击的信心不足，另一方面又觉得未来遭受网络攻击的可能很低。这无论无何也解释不通。

是盲目自信还是为了面子?

总部位于新加坡的数字风险咨询公司Veqtor8的创始人Andrew Milroy认为，新加坡和马来西亚出现的数据偏差很可能与网络安全专业人士想要在回答问题时尽量说得体面点有关。他说，

东南亚企业应采取哪些措施来强化网络安全

无论受访者是盲目自信还是面子主义，东南亚企业确实需要改善他们的网络安全防御能力。 位于新加坡和印度的网络安全公司Haltdos的董事长Ashish Saxena表示，

但网络安全投资却并未跟上节奏。IBM东盟集成安全负责人Derek Tay称，

Saxena表示，网络攻击的增加主要是由于远程工作及其对远程连接的依赖增加所致。如今，大多数员工和第三方员工都在使用Windows RDP(远程桌面协议)、AnyDesk和Windows TeamViewer等实用程序，但这些程序甚至缺乏强大的密码保护，这也导致为服务器上的攻击者提供了后门访问权限，从而增加了恶意软件在其他机器上传播的概率，并在某些情况下导致勒索软件攻击。

Saxena建议称，就企业组织而言，应该通过多因素身份验证在“最小访问权限”原则下提供安全的远程访问。就个人用户而言，应该了解社会工程攻击的类型及其作案手法，以免上当受骗。

Saxena还表示，Web应用程序是任何网络攻击的前线，因此保护Web应用程序对任何组织都至关重要。所以，除了应用程序的安全测试之外，Web应用程序防火墙也是企业组织应该采用的理想技术解决方案。

IBM的Tay称，

Veqtor8的Milroy还警告称，ISACA的一些调查结果和建议可能不会对企业产生很大的激励作用，尤其是在声誉受损成本方面。他认为，声誉受损并不是大多数公司的主要关注点。 新加坡的许多公司(例如大华银行、Grab和许多其他公司)都遭到过入侵，但并没有严重影响他们的声誉。他们更担心停电导致的运营成本或对违规行为的处罚。

参考：csoonline