全球大型數據外洩事件無日無之,Sony、Ashley Madison 以至新近登上頭條新聞的 Time Warner Cable 皆不能幸免,成為冰山一角。據商業軟件聯盟 (BSA) 與香港大學社會科學研究中心 (HKUSSRC) 剛發表的調查結果便指出,全球每天最少發生約七百萬次向企業發動的網絡攻擊。香港電腦保安事故協調中心 (HKCERT) 亦於九月推出「齊抗勒索軟件運動」,以打擊情況日益猖獗的勒索軟件攻擊,可見資訊安全問題備受關注。
然而,各行業的網絡安全措施周全程度不盡相同,例如銀行和金融界向來較有準備應付黑客,惟其他行業,包括那些主要公共基建服務供應商,多較疏於監管旗下基建和 IT 系統。隨著更多企業採用 IP 網絡,又或允許第三方夥伴存取其營運系統,網絡罪犯將有更多機會為這等機構帶來重大威脅。
黑白兩道方案紛陳
網絡威脅日趨嚴重,各式各樣的安全解決方案自然應運而生。問題是,安全方案市場亦因此而變得零散,出現多種只針對某一問題的技術,這尤見於由創企開發的方案。
另一邊廂,犯罪集團亦加緊投資,僱用黑客並購入黑市流行的惡意程式。他們多得暗網等新興平台讓匿名者可以無遠弗屆地進行非法勾當,不僅使工具手到拿來,令整個犯罪過程變得前所未有的方便,他們被逮捕的風除也大幅降低。
其實在過去五年,企業的網絡安全早已發展成為一項組織性問題,而由網絡安全措施不足而引發的數據外洩事件除了令相關機構尷尬,還惹來企業領導層甚至董事會的注意。
老舊問題還沒解決
話雖如此,每當 WannaCry 這類大型攻擊發生後,大家仍僅著重於勒索軟件所帶來的風險,未能正視欠缺跨網絡安全策略的根本問題。其實勒索軟件這種利用已知安全漏洞的攻擊手法存在已久,企業機構只要有嚴格執行周詳的軟件修補和其他標準安全政策與措施,便毋須對這類攻擊過分驚恐。
事實上,企業還有許多更嚴重,更常見的安全漏洞。就以設備管理為例,企業往往忽視了伺服器及其他基建設備的程式修補和更新,令黑客有機可乘。此外,企業目前亦多試圖以跨業務功能的模式抵禦攻擊,卻分開獨立處理網絡,應用軟件與終端點的安全開題,無形中使黑客更易在不同基建系統層面產生威脅。
迎向未來的答案
另外,現今市場上充斥了各款既昂貴又複雜的安全產品。企業在恐懼、猶豫和疑慮的影響下,往往欲以嶄新技術防禦特定的威脅,結果在部署過後方察覺內部沒有相關專才,無法妥善管理和操作這些方案。這種情況輕則對內部資源構成壓力,重則為企業帶來意想不到的額外安全問題。
由此可見, 對欲保障投資回報的企業來說,選用效果備受市場肯定,且愈來愈盛行的託管式安全服務,是其中一種值得考慮的方法。
託管式安全服務供應商會建議企業如何達致理想的業務目標,經濟規模,且就目前所使用的技術提供適合的專業人員。供應商並會把企業內部事務與網絡世界現況進行關聯分析。要緊記的是,將安全運作外判並不表示企業從此可免除所有責任,只是它們得以把焦點由基建管理改為風險管理。
物聯網等嶄新科技發展神速,使各行各業面臨新機遇之際,亦同時要面對更多的安全煩惱。試舉例,若一架滿載乘客的巴士被黑客騎劫,事件就會由一般的金錢問題提升到公眾安全的層面。不過,這正正是我們將會面對的未來,因此無論是私人還是公共機構,都必須認真夥同其託管式安全服務供應商,以嚴謹的 IT 系統安全措施全天候應付黑客的威脅。
作者:Keith Austin
Dimension Data(達科)香港轉型企業顧問
