如要說去年科技新聞的主角,一定會提「勒索軟件」。勒索軟件威脅的意義不在於案件頻發,而是讓很多以為黑客只會騷擾大公司的一般中小企業驚醒,原來自己一點也不安全,甚至沒有一個行業是安全的。資訊保安廠商 Palo Alto Networks 更預告這種安全威脅在 2017 年只會愈燒愈廣。
支付贖金只會換來付出更高代價
2016 年勒索軟件猖獗,罕有地令資訊保安成為全香港媒體的焦點新聞。以往香港人都覺得黑客入侵、數據外洩等資訊保安新聞很遙遠,但隨著香港出現多宗勒索軟件案例,而且漫延各行各業,讓很多香港中小企業驚覺,原來這些資訊保安事故可以很貼身。
Palo Alto Networks 大中華區總裁陳文俊表示,2016 年給很多亞太地區企業一個寶貴的教訓:沒有一個行業是安全的。「很多公司都以為只需要安裝防毒軟件,沒想到更多未出現過的惡意軟件會抓著系統安全漏洞入侵,就算使用防毒軟件也阻止不了。」他說。
陳文俊預告勒索軟件將更猖獗,針對金融惡意軟件的數量將在 2017 年持續增加,並使用更多更先進技術攻擊。但他警告企業不應支付贖金,因這會讓黑客食髓知味,贖金要求的金額很可能會增加。曾有個案是支付贖金後數據被解鎖,但受害者再次被攻擊,因此支付贖金並不能讓企業免受威脅。
工業控制系統、物聯網設備將成網絡罪犯目標
工業控制系統(Industrial control systems, ICS)包括建築管理系統、暖通空調(HVAC)和安全門等系統,智能化的建築物設備雖然方便,但大多數企業都將他們的建築管理系統外判,所以他們不一定知道第三方供應商是否有足夠的保安措施,這可能導致惡意入侵者有機可乘,構成嚴重損害。
例如攻擊者可將公司伺服器機房或數據中心內的溫度調高到 50°C,然後關閉所有建築物出入口,令人無法進內將硬件移送到更安全位置。 硬件最終會過熱,從而對業務、客戶和合作夥伴造成重大損失。因此企業必須在基本的保安措施外考慮更多,通過第三方及自己的網絡宏觀了解其潛在弱點,並擬定計劃防禦潛在攻擊。
Gartner 預測物聯網設備的數量將在 2020 年達到接近 210 億台。但物聯網設備將成為網絡罪犯的目標,這些端點設備為企業的網絡提供了無數個潛在的切入點,去年就有受襲設備被殭屍網絡連接起來,用作攻擊銀行和互聯網基礎設施的工具。
從數碼監錄鏡頭到連接精密機械的微型傳感器,任何連接到電腦或網絡的物件都有潛在風險,如果他們被連接到互聯網或由第三方管理,即存在風險。任何使用原廠設置進行安全保護的設備都會被輕易入侵,為了網絡安全著想,一經連接到網絡就務必更改預設的管理員密碼以免成為攻擊目標。
2017 年是企業制訂日常安全風險評估計劃好時機
陳文俊認為企業應更重視機密數據的管理,確保數據受到保護。試想像一直收集和分析的數據被攻擊者操縱,將使巨額研發或投資變得毫無價值,那怕只是其中一點資料被改變了,數據可信性也受污染,企業據此數據來做商業決定不僅浪費時間和金錢,更可能產生重大惡果。
「驗證」是所有平台在每個開發階段以及每個供應商和客戶關係中的核心步驟。 其可信性必須受保護,免受未經授權方修改,資訊只有授權方才能在有需要時被存取。員工中誰能存取我們的敏感資訊? 只要知道誰有權存取文檔或大數據的儲存位置,便能更清楚知道他們存取過哪些內容。
陳文俊指 2017 年的資訊保安威脅更大,企業應著手評估日常安全風險:「2017 年是各企業制訂日常安全風險評估計劃的好時機。意識到安全性的問題並不代表要完全避免新科技,而是要保持理性,比網絡犯罪者更快一步了解當前和潛在的威脅,知悉如何減輕風險的措施。」
