网络安全3大挫折感
企业价值成骇客目标

网络安全的重要性已无需赘言,更是翻来复去被提及,毫无新鲜感,但是网络安全的挫折感大家可又知道?

英国网络安全公司Sophos最近公布了与网络安全或资讯相关的3大挫折体验。



最近,Sophos发布了一份《网络安全在亚太地区和日本的未来——文化、效率和醒觉度》报告,报告调查马、新、澳、日、印度和菲律宾共900家各规模企业及相关涉及的员工如从事讯科技相关人士、采购人员、业务经理、总执行长、董事经理、总科技长等以掌握与网络安全相关的第一手情报。

在报告中提及事关网络安全的挫折感,虽然各国情况不尽相同,但挫折沮丧的体验却是相差不多,以下是6国的前3大挫折感。

30秒入侵数据库

Sophos东南亚及韩国资深总监苏密班沙(Sumit Bansal)指出,他与资讯科技人员、企业高层个别会面,感受到企业高层认定维护网护安全是资讯科技人员的工作而且视为简单的事,并觉得资讯科技人员夸大威胁和问题。其次,令他感到有趣的是大马企业也认为它们不会被骇客攻击,与一些规模较小的企业交流时,对方表示它们是“小咖”并非大银行、医疗机构或大企业,所以不会成为攻击目标!



对此,他直言骇客不在意企业规模及所在领域,只要有关的资讯对企业有价值,便有可能发动攻击。Sophos曾在云端设置诱饵,用来侦测骇客何时才会发现这个故意不加密的数据库,答案是30秒就被入侵。

“基本上,人们一直不停在扫描和寻找那些未经保护的资讯并发动攻击。暗网出售很多工具,骇客甚至不需要撰写源代码,直接购买工具就可以开始扫描。”

半年前进行的一项调查72%受调查者披露曾遭遇网络攻击,当中更有54%已两度被攻击。苏密直言,骇客对受害者说付款解决问题之后就不会再次对他们下手,这些话岂能相信?!

云端隐形挑战

他指出,由于企业高层不认为公司会遭到网络攻击,连带的对网络安全不够重视,“企业高层必须了解到网络安全极为重要,他们必须保护公司的业务,新闻上已经报道过很多宗企业因为资料外泄以致总执行长必须辞职下台的案例。他们或许不是负责执行网络安全的人,但是却是必须负责及捍卫公司业务的人。”

他表示,如今各企业都要上云端,虽然上“云端”较为便宜但其实存在很多隐形挑战,毕竟上云端看不到实物,上了云端的资产存在哪里?安全性是否足够?谁有权连接?……许多资讯外漏的事情的发生,正因为管制不够严格。

“在我的20年资讯科技生涯中,有3件事永远不变,人、过程和科技。你可以拥有最先进的科技,但如果没有程序,你要如何去处理资讯外泄?你注定会失败;如果人没有足够的醒觉度和知识,懂得什么该点击什么电邮该不该打开,你的麻烦也会没完没事。所以教育人们是极为重要的。”

苏密班沙(左)联同Sophos大马区经理黄俊雄一起公布《网络安全在亚太地区和日本的未来——文化、效率和醒觉度》。

大马企业对网络安全没概念

报告也指出,约70%企业对于网络安全似懂非懂,了解不多。若国家来看,半数受调查的大马企业对于网络安全不了解甚至没概念。

72%大马受调企业表示在招募网络安全专才遭遇困难。苏密表示,他与某银行客户会面时,对方透露很难招募到这方面的专才,甚至反问他有没有人才可以推荐(毕竟他从这事这一领域)。

3类型网络安全专家

“他们(企业)觉得员工未拥有正确的技能,“苏密表示,此言不虚,即使是某些拥有网络安全专才的顶级客户,一旦有1至2人离职之后就很难找到替补。

“这是一个利基市场,因为网络安全涵盖几样东西,包括第一威胁分析,第二恶意软体专家,分析了解恶意软体从何而来?会造成什么样的破坏以及如何消除威胁,第三是补求专家,他们知道如何清理并修复软体。所以你需要3种不同类型的网络安全专家才会感到有足够的安全感,但是有多少大马企业有这种能力?很难。我看,一般上都是顶级企业才负担得起拥有这样的人才。”

减删网络安全预算

60%企业则回应,没有足够的预算可以拨款给网络安全。他指出,预算永远是一个问题,在与客户的长期互动中也得知,预算往往被删减但工作却增加。

83%观察到在网络安全科技上要与时并进是极具挑战性,“因为网络威胁一直在进化,你也必须进化才能预测到未来可能会发生的威胁。”

大马企业所遭遇的3大攻击媒介(严重程度)分别是:

1.钓鱼攻击 

骇客伪造的假网站、假电邮,以引诱收件人去点击电邮里附带的网址链接、附件。苏密指出,要降低“中弹”的风险必须透过教育宣导以提升员工对钓鱼攻击的认识并懂得分辨以及采取下一步的行动。

他提醒企业勿惩罚不慎上了钓鱼攻击当的员工,毕竟有些钓鱼电邮/网站真假难辨,难免会有人被骗上当。唯有在企业内推广奖励员工做对的事的文化,才有助于遏止钓鱼攻击,惩罚员工(中了钓鱼攻击导致公司资讯安全受到威胁甚至出事)无法解决问题。

2.恶意软体 

Sophos的记录是每天新增40万个,所以包括他们在内的各网络安全公司都应用人工智能和机器学习来更快的侦测恶意软体,而骇客当然也是有样学样。

3.勒索软体(Ransomeware) 

勒索软体是恶意软体的一种。假设你把车子停在某处,过后发现车子被上锁了,付罚款才能开锁,这道理与勒索软体类似,骇客把你的资料加密,你做为拥有者看得却用不到,要解密必须付“赎金”,不过可别天真了,即使付了赎金也不保证能取回100%的资料。

大马企业的资讯安全决策者自认为在未来24个月会影响企业资讯安全的3大问题: 

1.恶意软体

2.以人工智能或机器学习为基础的攻击

3.钓鱼攻击

92%大马企业相信在未来2年,提升网络安全醒觉度、教育员工和领导层是最大的挑战。

报道·郑美励 图·郑美励、互联网