2015 年亞洲企業保安：這醜陋又美好的雲端世界

科技專欄資訊保安 by 蕭健英 on 27 六月, 2015

企業與科技之間的關係，從來都是千絲萬縷，一直都沒有化解跡象。商業世界已從金融危機爆發中反彈過來，並由自攜裝置 BYOD 到無處不在的物聯網，積極向著先進企業資訊科技架構進發。現時約有 65% 的企業已有一定程度採用雲技術，雲計算、雲方案隨處可見，人們對於這個議題的討論，已不只再限於公共雲還是私用雲，而是如何因應每一個個案需要，特別客製專屬方案。

隨著雲應用落入民間，我們可以預見在新世代中，企業與消費者之間的互動將徹底改變。兩者的互動純粹以企業持有客戶資訊的規模、客戶的購物紀錄和它們與客戶之間的關係為作定義。這種「大數據」的數量到底有多驚人？現時，亞馬遜 S3 所儲存的物品便超過 2 萬億件，如果向銀河系中的星體分配，每顆星都可以獲發 5 件物件。或將物件分給全中國 13.5 億人口，每人可以獲發 1,481 件。

這是一個驚人的龐大數據量，而且數字每天都因為應用程式演進而不斷向上。消費者應用程式預期的轉變打破了傳統企業基建的界線。流動性和投資與日俱增，意味應用程式已逐步遷往雲端，雲計算也因此成為新世界中連接力、互動、數據和分析數據的領航員。

The Ugly

成功的商業模式素來都是犯罪活動的溫床。今時今日過度連接、以雲端為本的社會，正正為各種惡行的進化滋長提供了完美環境。醜陋的真相是，企業一開始斥資建設網絡基建，網絡罪犯也就會緊隨其後，以更新更快的方法來發動襲擊、尋找洩密漏洞和竊取數據。

企業伺服器可以存在於公司的處所內，也可以放在雲端上，裡面載有豐富的數據，而且極具價值。這些數據包括客戶信用卡號碼、員工數據，以至專屬的企業數據等。在數據便是力量的時代，對數據心懷不軌的人自然虎視眈眈。

現時，應用雲方案的地方幅員廣闊。由於使用雲方案的地方遍及世界各地，企業對於保持本身數據密不可攻的難度也逾來逾高。例如，資訊總監以往只需監察封閉的本地數據基建，現在他們所面對和處理的企業數據卻儲存在無數設備上，也可以在第三方手中或身處不同司法管轄地區內。

情況好像為網絡罪犯提供了源源不絕的機會。單單在 2014 年內，全球企業便偵測出 4,280 萬次保安事故，較 2013 年增升 48 %。數字相等於每天 117,339 次，或每小時近 5,000 次。

香港生產力促進局去年公布的數字顯示，2014 年網絡保安事故數字急增 52%，該局並在 2013 年第四季在香港發現超過 8,300 個隱形殭屍（Bot machines）。

此外，攻擊計劃也漸見繁複，勒索軟件等襲擊便有顯著增加，其中加密勒索軟件更可以用肆虐來形容。這些攻擊通常透過網釣電郵發動，惡意軟件把用戶檔案加密，然後要求受襲用戶繳付贖金（通常透過Bitcoin支付），以換取復原數據的解密匙。香港保安事故協調中心在近月便發現類似事故大幅增加，中心現時每月錄得的警報最少有5宗，業界相信實質數字遠較警報數字高。

網絡罪行事故數字飈升，但背後動機不一定是為了金錢利益。雖然去年索尼影業和摩根大通的大量個人數據洩露事件佔據了不少頭條報導，但亞洲近期也成為政治活躍人士的目標。例如香港的佔領中環行動，便引發了駭客群組、傳媒和政府組織互相作出數據攻擊， DDoS 襲擊在「普及投票期間更升至有史以來的最高水平。

The Bad

據估計，網絡罪行每年令全球經濟損失 4,550 億美元。罪犯的進化速度遠高於許多企業制訂風險策略。壞消息是，亞太區的 DDoS 襲擊不僅規模日大，而且也日漸變本加厲，這些攻擊所針對的目標數據量越來越大，而且已沒有中小企和跨國公司之分。今天的企業和罪犯玩著貓捉老鼠的遊戲，而且罪犯這個遊戲中越來越能出奇制勝。

歷史上最大型的網絡襲擊，是 2014 年 6 月時針對香港佔領中環公民投票獨立媒體網站的 DDoS 襲擊，最高速度為每秒 500Gb。事實上，強度日增的 botnet 疆屍網絡攻擊自 2011 年以來已推把 DDoS 攻擊的規模擴大 115%。另外，罪犯不僅越來越深不可測，他們對數據的渴求也在無止境地增大。2014 年的 1,500 次攻擊中，便牽涉超過 10 億項數據外洩。

企業現時所處的位置儼如互聯網運作初期，也有西部電影的意味：大小公司在全面規劃保安和風險策略前便爭相採納雲端技術。最大問題是，企業世界的割喉式競爭中，容許出錯的機會每天都在減少，只要一個錯誤，便足以讓龍頭公司變成消失的名字。只要雲端平台上存有具價值數據，便會面對成為網絡罪犯目標的風險。