企業政府迎戰IoT 未來五年資安大考驗
IT在各行業扮演角色越來越重要,但網絡犯罪每年造成數以百億計的損失,資料流動性加大,方便了用戶存取,同時方便了黑客偷取越來越多資料。威脅從未間斷,政府機構如何保障其公共電子化服務不受入侵、攻擊,同時令服務有效率地滿足市民需求。Akamai亞太及日本區科技總監Zeck Lim 接受傳媒訪問分享政府及企業服務面對的威脅及應對策略。
五年後網絡景況
雲端及流動運算已經進入成熟期,Zeck認為未來推動成長的技術將會無疑是IoT、智能化城市等技術,而網絡媒體會有可觀性的增長。有關IoT物聯網對資安風險將會是構成重大威脅的來源,因為越來越多裝置連到互聯網,估計2020年會有300億件物品接入互聯網,數量的龐大、物件的多樣性對安全管理是很大威脅,試想像被控制的微波爐可以向網站發動入侵攻擊,資安生態是現時難以想像的複雜。
而隨著傳統企業及政府由電子化走到智能化,智能化都市是很多大城市未來發展方向,大部份服務都會透過網絡提供,要保持安全可靠之餘,服務目標數量龐大,效能要求不能忽視。Zeck透過比喻指出用戶體驗重要性,假設eTax服務若欠缺效率,冗長的等候時間會令市民感到不便,削弱信心。新一代已經習慣了可靠、快速的服務體驗,CIO在計劃部署時就要將可靠性、安全及效能一齊考慮。
DDoS不再是簡單問題
Akamai發佈的互聯網發展狀況概述報告指出第二季錄得的DDoS宗數較第一季下降15%,是連續第二季下跌,小編問到DDoS的趨勢看法,Zeck認為季節性上升或下降是正常情況,而長遠環境來看DDoS的數字及規模是會繼續上升。分析原因是攻防兩方的不對稱優勢,包括連線的設備及速度正不斷上升,其次DDoS成本越來越低,工具亦變得精密及自動化,攻擊者很容易地多次發動攻擊。
而DDoS背後亦非只為癱瘓服務,攻擊者會以聲東撃西方式,趁資安部門忙於應付前方的攻勢,另一端則俏俏進行入侵攻擊,目標是企業或政府的資訊及系統權限。面對如此組織性攻擊,企業需要更高速公路的方案去應付,例如集結所有資訊的Daskboard,可以讓安全人員更快掌握情況。
而近年發現的DDoS亦非單純的服務請求,攻擊者會於DDoS中加入指令碼,進行injection攻擊,目的是更改伺服器的設定等。黑客技術已發生重大改變,單純阻擋攻擊源頭地區已不是最佳做法,防禦方案需要更智能化,下一篇我們會繼續探討安全技術的最新情況。