人才短缺下小型企業制定網絡安全策略困難重重

近月港府不斷鼓吹「搶人才」,IT 和網絡安全可說是人才短缺較嚴重的行業,到底在人手緊絀下會否影響到企業的網絡安全?Palo Alto Networks 較早前便針對疫情下加速數碼轉型的網絡安全挑戰,進行一份《企業網絡安全調查》。

該份報告指出,40%受訪者表示將於 2023 年投放更多網絡安全預算;在中型及大型公司當中,約半數公司表示將支出預算增加,平均增加約 20%。而這些預算會用於解決現有的安全漏洞、優化企業營運、改善回應危機的措施,以及應對不斷變化的網絡保安趨勢。

然而該報告亦顯示,僅 29% 小型企業管理層計劃提高其網絡安全預算;而超過 40% 的小型企業並沒有專責資訊科技安全的員工。

Palo Alto Networks 香港及澳門地區總經理馮志剛表示:「人才短缺的確令部分企業的網絡安全策略停滯不前,尤其小型企業因預算和人手有限,於制定網絡安全策略上更是困難重重。然而破壞性網絡攻擊於過去 12 個月約增加 20%,為安全漏洞做好準備實在刻不容緩。」

網絡安全戰略停滯不前

疫情改變了大眾的工作模式,企業不但全速融合雲端計算,同時為員工提供 5G、自動 化和遠程訪問工具。研究發現,增加遠程辦公人員數量(65%)、將工作負載轉移到雲端(49%) 以及提升智能設備的使用率(44%)均為香港企業最常見的數碼化轉型措施。遠程辦公和快速數碼化使網絡安全成為本港企業主要決策者的首要考慮因素,逾半企業管理層表示他們比以往更關注網絡安全。

作為數碼化轉型其中一環,企業視雲端安全(58%)、端點保護(34%)以及身份和訪問管理 (28%) 為優先考慮的業務安全策略。雖然安全存取服務邊緣 (SASE) 和零信任安全框架在雲端安全中發揮著舉足輕重的作用,可是報告指出僅 24%受訪者表示他們將部署 SASE 安全模型;另 14%受訪者表示他們將採用零信任安全措施,顯示這兩項措施並未得到企業領導者的關注。

馮志剛認為,混合工作混式令企業攻擊面大幅增加,過去不同保安產品挑選最佳品牌(best of breed)的做法也許不合事宜。「防火牆、End Point(端點)、身份和訪問管理等等各自部署不同品牌也並非不可行,但缺乏單一管理介面,在推行新保安政策時便得逐一更新。就我觀察,確是愈來愈多企業由best of breed 轉到 holistic(全面)的網絡保安方案,以便簡化管理,同時可提供更全面的安全透明度(Visibility)、自動化(Automation)和整合平台(Integrated platform)。」

針對企業在網絡安全防禦上應採取的措施,馮志剛有以下建議: 

  • 進行網絡安全評估以了解、控制和降低風險。這有助企業制定有效的應對措施,並預留適 當資源以防禦複雜的攻擊。
  • 採用零信任安全框架來應對當前的網絡安全威脅,並以「假設入侵情境」為設計架構。運 用科技以持續驗證數碼交互的合法性,並建立應對措施以快速應對早期入侵跡象。
  • 選擇合作夥伴而非產品。良好的網絡安全合作夥伴可以提供最新的威脅情報,就著不同生態(如本地環境、雲端、邊緣)建立網絡架構並提供實用建議。