Sophos 的《网络安全不可思议的谜题》 (The Impossible Puzzle of Cybersecurity) 全球调查报告发现，只有 16% 的 IT 主管视供应链为重大安全风险，为网络罪犯曝露另一个攻击弱点。这项调查收集了来自美国、加拿大、墨西哥、哥伦比亚、巴西、英国、法国、德国、澳洲、日本、印度及南非 3,100 位中型企业的 IT 决策者。

Sophos 首席研究科学家 Chester Wisniewski 表示：“网络罪犯不断寻找入侵企业的方法，而他们视供应链攻击为头号攻击方法之一。IT 主管应把供应链列为重大安全风险，但并不是因为由国家级黑客发起的攻击针对的是高调的目标。而是他们建立的攻击蓝图一旦公开了，其他网络罪犯便会因其独创性和高成功率而采用。”

他补充道：“供应链攻击更是网络罪犯执行自动化主动攻击的有效途径。当他们从一大群候选受害者中选中了目标，就会积极入侵那家特定企业，利用手动黑客技术和横向移动避开防护侦测，然后触及其目标数据或系统。”

网络罪犯采用多重攻击方法与载荷以造成最大影响

Sophos 这份调查报告也揭示了不同的攻击技俩，且由于多重阶段的攻击模式，更增加了企业防卫网络的难度。每五个受访的 IT 主管就有一个并不了解他们管辖的系统是如何被入侵的，而攻击手法的多元化也就表示没有单一的防御策略能够全面有效。

Chester 补充道：“网络罪犯不断改进他们的攻击方法，且利用多种载荷来尽量提升收益。软件漏洞利用不仅是 23% 网络安全事故的最早入侵点，另外还涉及 35% 的全部攻击，这反映出软件漏洞利用被应用于攻击链的不同阶段。企业若只为那些对外的高危服务器进行程序修补，只会使对内的系统变得脆弱，令网络罪犯有机可乘。”

与此同时，研究结果证明当前覆盖广泛、设有多重阶段的大规模攻击非常有效。例如，有 53% 的网络攻击受害者因钓鱼电邮而上当；有 30% 则遭遇勒索程序攻击；还有 41% 表示受数据外泄影响。

主要调查结果：
 

◆ 仅有 16% 的 IT 主管视供应链为重大安全风险，使企业的另一安全弱点外露
 

◆ 国家级攻击证明了供应链攻击卓有成效，这意味着一般网络罪犯极有可能采用相同手法
 

◆ 供应链攻击可作为新兴自动化主动攻击的跳板
 

◆ 网络罪犯的策略已演变成利用多种攻击方法与不同载荷以获取最大利润
 

◆ 软件漏洞是 23% 网络安全事故的源头，也被运用于 35% 的网络攻击上，反映出软件漏洞利用在攻击链上不同阶段的运用
 

◆ 受到网络攻击的受访者当中，有 53% 因钓鱼电邮而受害
 

◆ 有 30% 的网络攻击受害者遭遇勒索程序
 

◆ 有 41% 的攻击受害者受数据外泄影响

 
同步安全解决不可思议的网络安全谜题

随着供应链攻击、钓鱼电邮、软件漏洞利用、系统漏洞、不安全无线网络等招引来各种各样的网络威胁，企业对能够帮助它们收窄防护落差、更有效识别前所未见威胁的安全解决方案有更大需求。Sophos Synchronized Security 单一整合式同步安全系统结合了 Sophos 在端点、网络、移动技术、Wi-Fi 连接以及加密方面的产品，让它们实时共享资讯，就防范威胁提供非常关键的可视性，并自动应对事故。有关同步安全的详情，请浏览 Sophos.com。

网络安全不可思议的谜题调查乃由独立市场研究专家 Vanson Bourne 于 2018 年 12 月至 2019 年 1 月期间进行。这项研究访问了来自美国、加拿大、墨西哥、哥伦比亚，巴西，英国，法国、德国、澳洲、日本、印度及南非六大洲 12 个国家的 3,100 位 IT 决策者，他们任职的企业员工数目全都介于 100 至 5,000 人之间。