close
企業趨勢資訊保安

Adura:亞洲企業必須實施更精密的網絡保安措施

網絡安全顧問公司 Adura 透露,亞洲企業開始要求進階的網絡保安服務,例如「網絡偵察」 (reconnaissance) 或「預早狙擊鏈」(early kill chain) 服務。除了滿足基本合規要求,區內企業現更著眼於威脅情報、網絡人工智能行為和網絡釣魚風險評估服務的價值。

傳統的網絡保安計劃旨在透過道德入侵 (ethical hacking) 、網絡稽核和員工意識訓練來確保合規。可是,以上的措施依據已是過時的舊有框架。當一個框架被認可及有審計師完成相應訓練後,已經出現全新的網絡保安難題。因此,企業必須持高於合規的標準以及長遠視野來應對網絡保安議題。

去年 Adura 的威脅情報服務就辨識並化解超過 750 個高風險暗網資產洩露危機。當中包括外洩的機密檔案、事發前的網絡攻擊情報、偽冒企業及要員身份、被竊取的員工系統驗證、社交媒體報導、電郵鑑識和保安設定。由於辨識以上洩露危機需要專業人員及分析技能,所以傳統的網絡保安工具和常規措施不足應付。

Adura 網絡保安服務總監 Barnaby Grosvenor 表示,基於 Adura 對網絡事故的管理經驗,網絡威脅在現今的數碼世界並不罕見,並對不同的大小企業都帶來重大的影響。威脅的數量以及急速改變的網絡保安和最佳實踐令企業難以有效地管理網絡保安需要。具體的網絡保安計劃要遵從以預防為本的手法,持續地進行偵測以及縮小員工意識、保安管理流程、技能和科技之間的漏洞。

有效網絡保安管理必備的三大範疇

去年的主要事故顯示,網絡攻擊者變得愈來愈老練。Adura 提出網絡要素框架 (Cyber Essentials Framework) 概念協助企業強化網絡保安管理結構,其涵蓋有效網絡保安管理必備的三大範疇:

  • 人才:自攜電子設備的潮流,加上員工對網絡保安最佳實踐理解的差異及影子 IT 等因素為網絡罪犯大開攻擊的大門。教育員工有關網絡威脅、降低受社交工程攻擊和釣魚郵件的影響的資訊十分重要。在 Adura 向客戶進行的模擬釣魚行動中,有 20% 的員工開啟了冒充社交媒體邀請或企業內部訊息的釣魚郵件。即使他們接受了有關如何分辨釣魚郵件的訓練,在企業內管理最敏感的員工資料的部門 ── 財務和人力資源部的僱員,被發現往往極可能被釣魚郵件所誤導。這顯示對員工進行持續而有效的網絡保安事故訓練致關重要。
  • 流程:管理網絡保安風險需要全面的思慮,根據 Adura 統計,99% 的網絡伺服器缺乏至少 8 個重要的安全修補程式,這歸根於企業內網絡保安流程的漏洞,令企業暴露於網絡威脅。而透過偵測漏洞和為保安更新訂下優先次序,可協助降低風險。
  • 科技:隨著科技環境和網絡保安最佳實踐日新月異,企業需要隨時具備富有專業知識的網絡保安人員來協助檢測和管理他們的風險。Adura 發現區內 20% 的企業均沒有資訊科技安全總監 (CISO) 或其他專家人員。企業尋求相關的顧問服務,減省客戶僱用額外資訊科技人員的需要。
Tags : Adura
Ken Li

The author Ken Li

世事洞明皆學問,人情練達即文章。