疫情期間,許多企業積極推動數碼轉型。如今疫情逐漸緩和,各類商業活動開始逐步復甦。對各大小企業而言是個期待已久的機遇,可以充分發揮數碼轉型的優勢,全力拓展業務。不過與此同時,網絡保安風險亦隨市場活躍度上升,企業必須密切關注並採取措施,預防黑客入侵所帶來的嚴重後果。
數碼轉型風險增
近年,各行業積極推進數碼轉型項目,由基礎的雲端服務、線上商貿及推廣,以至更為複雜的自動化和人工智能應用等。這些新技術在當前市場環境中不可或缺,不僅可為客戶提供更流暢、優質的服務,還可以提升業務效率。
然而,數碼轉型為企業帶來眾多好處的同時,企業面臨網絡攻擊的風險亦不斷增加。例如,物聯網/OT 裝置、網上服務、雲端工作負載等,均成為犯罪分子可加以利用的攻擊機會。此外,配合網絡釣魚等社交工程攻擊,犯罪分子更容易入侵企業網絡系統。便利員工和顧客的數碼工具若未加強保安措施,將有可能成為供黑客利用的便捷途徑,藉此對企業發動攻擊。
攻擊手法不斷變化難以捕捉
近年,黑客技術明顯有所提升。根據 Fortinet 的威脅情報平台及研究機構 FortiGuard Labs 最新報告顯示,2021 年下半年的勒索軟件變種僅 5,400 個,及至 2022 年上半年已激增至 10,666 個。此外,以訂閱制為基礎的 Criminal-as-a-Service(CaaS)增長也大幅降低了攻擊門檻,推動網絡攻擊數量增加。
社交工程攻擊近年構成相當嚴重的威脅。犯罪分子利用偽造網站和社交媒體帳戶,欺騙目標企業的顧客、商業夥伴和員工,以便取得對方的個人資料甚至系統登入憑證,進行進一步攻擊。當黑客掌握被盜用戶憑證和敏感數據,如信用卡號碼和個人身份資訊,便很容易偽裝成正常用戶,逃避傳統安全方案的監控。
比方說,2022 年有黑客利用虛假的 Facebook 帳戶,冒充一家本地高級酒店集團的專頁,推銷住宿套餐牟利,導致該集團收益和品牌聲譽受損。另一家連鎖酒店集團亦曾遭受攻擊,黑客在獲得網絡存取兩個月後方被發現,最終導致超過 29 萬名顧客的個人數據洩露。
人才不足須重新思考應對策略
屋漏偏逢連夜雨,企業一方面須應對日益嚴峻的網絡威脅環境,同時亦面臨人才不足的困境;本港多個行業鬧人才荒,要覓得具備相關資格的 IT 保安專家亦不容易。資源有限的企業應善用更具可視性和自動化的工具來應對威脅,提升網絡安全效率,讓 IT 專員能專注處理真正有潛在威脅的警告。
此外,企業應重新思考策略,與合作夥伴和解決方案供應商攜手加強網絡安全架構,以對抗日益複雜的網絡攻擊。例如,採用 External Attack Surface Management(EASM)和 Digital Risk Protection(DRP)等工具來保護品牌和進行暗網監控,以及利用 Cyber Deception、Network Detection and Response(NDR)和 Endpoint Detection and Response(EDR)等技術,以防患於未然。
Fortinet 香港、澳門及蒙古區域總監馮玉明指出:「對於企業而言,如何取得最大的數碼投資回報,確保自身數據安全,同時符合私隱合規性,擁有稱心合拍的戰略技術合作夥伴至關重要。」
她建議,企業須密切關注數碼轉型帶來的網絡安全風險、應對攻擊手法的變化,並解決人才不足的問題。透過與合作夥伴和解決方案供應商合作,運用先進的安全技術和工具,企業可有效加強網絡安全架構,應付日益嚴重的網絡威脅,保障企業數據和客戶資訊,才可以確保數碼投資獲得最大回報。
