ISACA最近的一項調查顯示，新加坡和馬來西亞這兩個東南亞國家的企業低估了威脅水平，或者說夸大了他們的防御能力。發生這種情況的原因大多是為了面子，但是網絡安全能力差距也是真實存在的。

[[420592]]

根據最新發布的ISACA調查顯示，與世界其他地區的企業相比，新加坡、馬來西亞和印度的企業非常有信心能夠逃脫網絡攻擊。但是事實證明，這種信心可能沒有充分的根據，尤其是對新加坡和馬來西亞企業而言。

提供安全培訓和咨詢服務的ISACA在2020年底對全球3,659人進行了調查，其中154名受訪者來自馬來西亞和新加坡，這些受訪者中65%的人來自擁有超過1,500名員工的組織;印度有210名受訪者，其中80%來自擁有1,500多名員工的組織。

對防御的信心很大程度上與網絡攻擊預期相符——馬來西亞和新加坡除外

在馬來西亞和新加坡的受訪者中，只有33%的人預計他們的組織將在明年遭遇網絡攻擊。同樣，很少有印度企業(29%)預計明年會遭受網絡攻擊。相比之下，46%的非洲受訪者和58% 的英國受訪者預計他們的組織將在明年遭遇網絡攻擊。(非洲有119名受訪者，其中55%所在的組織超過1,500人。英國有112名受訪者，其中63%所在的組織有1,500名或更多員工。)

在新加坡和馬來西亞的受訪者中，67%的人表示他們對其網絡安全團隊檢測和應對網絡威脅的能力充滿信心。在印度受訪者中，69%的人對此充滿信心。而相比之下，非洲的信心水平為75%，英國為81%。

那么問題來了，為什么與其他地區同行相比，馬來西亞、新加坡和印度企業對自身抵御網絡攻擊能力的信心相對較低，卻反倒認為自身不太可能遭受網絡攻擊呢?

ISACA內容開發高級總監Karen Heslop解釋稱，

盡管印度的整體信心水平(69%)與馬來西亞和新加坡(67%)相似，但Heslop指出，印度企業“完全或非常有信心”的比例為 46%，而馬來西亞和新加坡僅為27%。這一數據也解釋了印度企業對自身遭受網絡攻擊的擔憂降低的情況。

此外，32%的非洲企業和37%的英國企業表示對自身抵御網絡攻擊的能力完全或非常有信心，這兩個地區明年的比例預計會更高。

這也使得新加坡和馬來西亞的數據變得不太可信，它們一方面對自身抵御網絡攻擊的信心不足，另一方面又覺得未來遭受網絡攻擊的可能很低。這無論無何也解釋不通。

是盲目自信還是為了面子?

總部位于新加坡的數字風險咨詢公司Veqtor8的創始人Andrew Milroy認為，新加坡和馬來西亞出現的數據偏差很可能與網絡安全專業人士想要在回答問題時盡量說得體面點有關。他說，

東南亞企業應采取哪些措施來強化網絡安全

無論受訪者是盲目自信還是面子主義，東南亞企業確實需要改善他們的網絡安全防御能力。 位于新加坡和印度的網絡安全公司Haltdos的董事長Ashish Saxena表示，

但網絡安全投資卻并未跟上節奏。IBM東盟集成安全負責人Derek Tay稱，

Saxena表示，網絡攻擊的增加主要是由于遠程工作及其對遠程連接的依賴增加所致。如今，大多數員工和第三方員工都在使用Windows RDP(遠程桌面協議)、AnyDesk和Windows TeamViewer等實用程序，但這些程序甚至缺乏強大的密碼保護，這也導致為服務器上的攻擊者提供了后門訪問權限，從而增加了惡意軟件在其他機器上傳播的概率，并在某些情況下導致勒索軟件攻擊。

Saxena建議稱，就企業組織而言，應該通過多因素身份驗證在“最小訪問權限”原則下提供安全的遠程訪問。就個人用戶而言，應該了解社會工程攻擊的類型及其作案手法，以免上當受騙。

Saxena還表示，Web應用程序是任何網絡攻擊的前線，因此保護Web應用程序對任何組織都至關重要。所以，除了應用程序的安全測試之外，Web應用程序防火墻也是企業組織應該采用的理想技術解決方案。

IBM的Tay稱，

Veqtor8的Milroy還警告稱，ISACA的一些調查結果和建議可能不會對企業產生很大的激勵作用，尤其是在聲譽受損成本方面。他認為，聲譽受損并不是大多數公司的主要關注點。 新加坡的許多公司(例如大華銀行、Grab和許多其他公司)都遭到過入侵，但并沒有嚴重影響他們的聲譽。他們更擔心停電導致的運營成本或對違規行為的處罰。

參考：csoonline