根据Sophos最新发布的调查报告《网络安全不可思议的谜题》显示，只有16%的IT主管视供应链为重大安全风险，会为网络罪犯曝露另一个攻击弱点。据悉，这项调查收集了来自美国、加拿大、墨西哥、哥伦比亚、巴西、英国、法国、德国、澳洲、日本、印度及南非3100位中型企业的IT决策者。

　　Sophos首席研究科学家Chester Wisniewski表示：“网络罪犯不断寻找入侵企业的方法，而他们视供应链攻击为头号攻击方法之一。IT主管应把供应链列为重大安全风险，但并不是因为由国家级黑客发起的攻击针对的是高调的目标。而是他们建立的攻击蓝图一旦公开了，其他网络罪犯便会因其独创性和高成功率而采用。”

　　他补充道：“供应链攻击更是网络罪犯执行自动化主动攻击的有效途径。当他们从一大群候选受害者中选中了目标，就会积极入侵那家特定企业，利用手动黑客技术和横向移动避开防护侦测，然后触及其目标数据或系统。”

　　Sophos这份调查报告也揭示了不同的攻击技俩，且由于多重阶段的攻击模式，更增加了企业防卫网络的难度。每五位受访的IT主管就有一个并不了解他们管辖的系统是如何被入侵的，而攻击手法的多米化也就表示没有单一的防御策略能够全面有效。

　　Chester补充道：“网络罪犯不断改进他们的攻击方法，且利用多种载荷来尽量提升收益。软件漏洞利用不仅是23%网络安全事故的最早入侵点，另外还涉及35%的全部攻击，这反映出软件漏洞利用被应用于攻击链的不同阶段。企业若只为那些对外的高危服务器进行程序修补，只会使对内的系统变得脆弱，令网络罪犯有机可乘。”

　　与此同时，研究结果证明当前覆盖广泛、设有多重阶段的大规模攻击非常有效。例如，有53%的网络攻击受害者因钓鱼电邮而上当；有30%则遭遇勒索程序攻击；还有41%表示受数据外泄影响。