網絡保安被忽視 超過20%員工仍中釣魚郵件攻擊

網絡保安被忽視 超過20%員工仍中釣魚郵件攻擊

網絡保安仍被不少企業忽視，更有20%的企業沒有聘任資訊科技安全總監。網絡安全顧問公司Adura透露，亞洲企業開始要求進階的網絡保安服務，例如「網絡偵察」 (reconnaissance) 或「預早狙擊鏈」(early kill chain) 服務。除了滿足基本合規要求，區內企業現更著眼於威脅情報、網絡人工智能行為和網絡釣魚風險評估服務的價值。

傳統的網絡保安計劃旨在透過道德入侵 (ethical hacking) 、網絡稽核和員工意識訓練來確保合規。可是，以上的措施依據已是過時的舊有框架。當一個框架被認可及有審計師完成相應訓練後，已經出現全新的網絡保安難題。因此，企業必須持高於合規的標準以及長遠視野來應對網絡保安議題。

在超過 750 個辨識並成功化解的高風險暗網資產洩露危機當中，包括外洩的機密檔案、事發前的網絡攻擊情報、偽冒企業及要員身份、被竊取的員工系統驗證、社交媒體報導、電郵鑑識和保安設定。由於辨識以上洩露危機需要專業人員及分析技能，所以傳統的網絡保安工具和常規措施不足應付。

Adura 網絡保安服務總監 Barnaby Grosvenor表示：「從我們對暗網網絡事故的管理工作可見，網絡威脅在現今的數碼世界並不罕見，並對不同的大小企業都帶來重大的影響。威脅的數量以及急速改變的網絡保安和最佳實踐令企業難以有效地管理網絡保安需要。具體的網絡保安計劃要遵從以預防為本的手法，持續地進行偵測以及縮小員工意識、保安管理流程、技能和科技之間的漏洞。」

簡化網絡保安管理

去年的主要事故顯示，網絡攻擊者變得愈來愈老練。Adura 以其獨特的網絡要素框架 (Cyber Essentials Framework) 協助企業強化網絡保安管理結構，並涵蓋有效網絡保安管理必備的人才、流程和科技。

人才

自攜電子設備的潮流，加上員工對網絡保安最佳實踐理解的差異及影子 IT 等因素為網絡罪犯大開攻擊的大門。教育員工有關網絡威脅、降低受社交工程攻擊和釣魚郵件的影響的資訊十分重要。在模擬釣魚行動中，有20% 的員工開啟了冒充社交媒體邀請或企業內部訊息的釣魚郵件。即使他們接受了有關如何分辨釣魚郵件的訓練，在企業內管理最敏感的員工資料的部門 ── 財務和人力資源部的僱員，被發現往往極可能被釣魚郵件所誤導。這顯示對員工進行持續而有效的網絡保安事故訓練致關重要。

流程

管理網絡保安風險需要全面的思慮，根據客戶的企業大小、行業和企業目標，與企業攜手妥善計劃流程。根據 Adura 所見，99% 的網絡伺服器缺乏至少 8 個重要的安全修補程式，這歸根於企業內網絡保安流程的漏洞，令企業暴露於網絡威脅。

科技

隨著科技環境和網絡保安最佳實踐日新月異，企業需要隨時具備富有專業知識的網絡保安人員來協助檢測和管理他們的風險。Adura 發現區內20%的企業均沒有資訊科技安全總監 (CISO) 或其他專家人員。為了協助確保企業能利用這些人才資源，Adura 設有虛擬資訊科技安全總監 (vCISO) 服務，提供如一般傳統資訊科技安全總監的高級顧問服務。