2018 年網絡保安事故不斷,最多人關注的,莫過於航空公司外洩逾 900 萬名乘客的個人資料,當中涉及身份證/護照號碼和信用卡等敏感資料。Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca(圖右)指出,黑客會把握每個機會將成功盜取的數據拿來圖利。
「相信近期多宗大規模數據外洩跟 GDPR 正式落實無關,黑客並非趕在企業加強保安前落手,他們會把握每個機會盜取可圖利的用戶數據。」Duca 認為近月涉事的企業或因存有大量用戶敏感數據而保安系統較弱,因此成為黑客目標。
2019 五大保安趨勢
商務電郵惡意附件
企業誠然已成為網絡罪犯的頭號目標。過去 5 年,全球透過商務電子郵件入侵被偷取的金錢超過 120 億美元,隨著盜取企業密碼和登入資料變得愈來愈常見,攻擊者也變得更自信和積極偽裝成合作夥伴或內部持分者,向大小型企業進行攻擊,企業若不能妥善應對,相信會繼續受這情況困擾。商務電子郵件入侵案件的上升正代表攻擊者愈見多元化及精密的攻擊手法,從偽造企業網頁,到利用員工的個人社交媒體帳號來發動攻擊。當攻擊者對巧妙避開內部檢查的手法愈加熟練 ,企業在 2019 年能否以己之力戰勝網絡罪犯實在不容樂觀。
提示:企業應盡可能評估自身的內部資訊流程,並實行更全面的檢查和審批程序,尤其是牽涉有關資源流動。密碼不容置疑仍是電腦保安當中最弱的一環:它容易被偷取、難以保護,和難以證明使用者身份。因此,雙重、多重認證及生物認證將於 2019 年愈趨普及。
供應鏈成最新弱點
數碼年代打破界限,促進了互相連繫的環球供應鏈,讓企業可以輕鬆地接觸供應商,並將服務向全球外判。這些連結包括數據和網絡共享,讓企業透過連接和分析而大大提高效率。然而,攻擊者亦可趁機利用現有安全措施的弱點進行攻擊。這些風險在醫療界會更加顯著,因為第三方的醫療器材如核磁共振和X 光儀器每天都會連接上內部網絡,增加醫院的攻擊面和漏洞,而醫院在這方面幾乎沒有監控。
當供應鏈愈趨複雜,偵測和預防網絡安全風險將變得近乎不可能。其他業界的企業也許應問:「我們知道甚麼單位正連接到我們的網絡嗎?你知道你的企業正使用甚麼系統或服務嗎?」
提示:首席網絡安全總監須仔細監察網絡上的流量,以確保敏感資料被分別保護在外來裝置和系統無法取覽的位置。當多個不安全的裝置連接到企業網絡,物聯網可以馬上變成「網絡威脅聯網」。即使有時使用第三方應用程式和連接裝置無可避免,企業和機構須多注意有關購入/採用裝置或服務的內部安全標準,包括確保韌體和應用程式都是最新版本、把登入設定設為非預設。若第三方系統和裝置依附在企業網絡中,應使用零信任保安模式來檢視和認證所有流量,只容許授權的使用者和應用程式與其進行溝通。在 2019 年,不安全的連接裝置就好像任何電腦或智能電話般,會輕易成為攻擊者的入口。
愈來愈多亞太區立法保護數據
亞太區國家承諾會採取更多網絡保安的措施,步向數據管理正式化似乎是無可避免。澳洲和新加坡等國已率先執行有關措施,而區內的其他國家在不久的將來也會緊隨其後,因為他們均已意識到國家安全和保護市民數據的迫切性。由於區內不同地區數碼發展成熟程度有異,這些國家制訂推行各自的「一般資料保護規範(GDPR)」的發展需時,而往後的發展路向並不明確。儘管如此,在 2019 年我們會見證不少國家首度實施保護市民數據的措施。
提示:歐盟的「一般資料保護規範(GDPR)」喚醒亞太區企業對他們所收集和儲存的數據的注視。區內企業可以 GDPR 作為依據來評核現有守規的現狀與預期的差距,以協助制訂他們整體的防禦形勢。在類似的亞洲版框架出現前,這可能需時數年,企業可以利用 GDPR 的政策作為依據,把不必要的個人數據收集減到最低,降低在工作流程中的風險和外洩。
雲運算保安挑戰嚴峻
雲運算有助簡化部分網絡安全元素,同時亦帶來這方面的挑戰。採用雲運算策略,往往代表任務關鍵的數據和系統將儲存於第三方,確保該等資料安全儲存及傳遞,只有具授權的人士才可取覽至關重要。雲安全不是雲端供應商單方面的責任,而企業必須在資料、應用程式、操作系統、網絡設置等多方面為安全把關,惟互相牽連的生態系統使保安問題更顯複雜。
提示:在企業急於推行創新及推出新服務的同時,須處理複雜的運算資源,安全原則輕易被疏忽。DevOps 有助加快開發,但同時難以確保安全,特別是在由傳統資訊科技管理發展到 DevOps 的階段。由多個單點產品組成的舊有保安系統並不足以防禦愈趨精密的網絡攻擊。很多保安工具仍然依賴手動程序,以致不能迅速地執行新的安全措施,因而對持續而針對性的攻擊防不勝防。要降低網絡危機,必先制訂綜合、自動而有效的管制措施,在攻擊的不同階段,偵測及預防已知和未知的威脅。
關鍵基礎設施
隨著關鍵基礎設施的數碼化和自動化,企業和工業之間日漸增多的往來,令他們更容易成為網絡罪犯的目標。工業系統尤其危險,因為監控及數據收集系統(SCADA)和工業控制系統(ICS)對能源、水和公共交通來說非常重要,卻大都依靠舊有而不相容的系統。
英國的國家網絡安全中心早前已警告,針對選舉和關鍵基礎設施的網絡攻擊不能避免。同樣,《世界經濟論壇環境風險報告2018》亦認定網絡攻擊為全球危機之首,僅次於天然災害和極端的天氣情況。
提示:此刻,基建擁有者初步著重於資料保密方面,卻忽視了另外兩個資料安全的要素:完整性和可用性。區內的國家正採用工業 4.0 技術例如在自動化機器上利用機器學習,所以這兩項要素尤其重要。這些創新會依賴遙測和隨時可取的連接性。在起始階段,公共和私人的關鍵基礎設施擁有者必須實施零信任系統和確保存取資料的隔離性。
關鍵基礎設施擁有者須改變以往以合規為本的手法,而是以安全為目的之模式。監管者和使用者可共同建立一個規管的框架,同時以安全為首的宗旨,設計和維護所有關鍵基礎設施。放棄以例行公事處理的手法,網絡安全應由根本策劃。
