2019年網絡安全預測:我們應該加倍關注些什麼?
2019年網絡安全預測:我們應該加倍關注些什麼?
作者: Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca
商務電郵附有危險的附件
企業誠然已成為網絡罪犯的頭號目標。過去五年,全球透過商務電子郵件入侵被偷取的金錢超過 120 億美元,隨著盜取企業密碼和登入資料變得愈來愈常見,攻擊者也變得更自信和積極偽裝成合作夥伴或內部持分者,向大小型企業進行攻擊──若企業不能妥善應對,相信這情況會繼續困擾著企業。商務電子郵件入侵案件的上升正代表攻擊者愈見多元化及精密的攻擊手法,從偽造企業網頁,到利用員工的個人社交媒體帳號來發動攻擊。當攻擊者對巧妙避開內部檢查的手法越加熟練 ,企業在 2019 年能否以己之力戰勝網絡罪犯呢?這實在不容樂觀。
企業應盡可能評估自身的內部資訊流程,並實行更全面的檢查和審批程序,尤其是牽涉有關資源流動。密碼不容置疑仍是電腦保安當中最弱的一環:它容易被偷取、難以保護,和難以證明使用者身份。因此,雙重、多重認證及生物認證將於 2019 年愈來愈常用。
供應鏈會成為最新的弱點
數碼年代打破界限,促進了互相連繫的環球供應鏈,讓企業可以輕鬆地接觸供應商,並將服務向全球外判。這些連結包括數據和網絡共享讓企業透過連接和分析而大大提高效率。然而,同時攻擊者趁機利用現有安全措施的弱點進行攻擊。這些風險在醫療界會更加顯著,因為第三方的醫療器材如核磁共振和 X 光儀器每天都會連接上內部網絡,增加醫院的攻擊面和漏洞,而醫院在這方面幾乎沒有監控。
當供應鏈愈趨複雜,偵測和預防網絡安全風險將變得不可能。其他業界的企業也許應該要問:「我們知道甚麼單位正連接到我們的網絡嗎?你知道你的企業正使用甚麼系統或服務嗎?」
首席網絡安全總監 (CSO) 需要仔細監察網絡上的流量,以確保敏感資料被分別保護在外來裝置和系統無法取覽的位置。當多個不安全的裝置連接到企業網絡,物聯網可以馬上變成「網絡威脅聯網」。即使有時使用第三方應用程式和連接裝置無可避免,企業和機構需要多注意有關購入/採用裝置或服務的內部安全標準,包括確保韌體和應用程式都是最新的版本、把登入設定設為非預設。若第三方系統和裝置依附在你的網絡中,應使用零信任保安模式來檢視和認證所有流量,只容許授權的使用者和應用程式與其進行溝通。在 2019 年,不安全的連接裝置就好像任何電腦或智能電話般,會輕易成為攻擊者的入口。
立法保護數據在亞太區漸入佳境
亞太區國家承諾會採取更多網絡保安的措施,步向數據管理正式化似乎是無可避免。澳洲和新加坡等國家已率先執行有關措施,而區內的其他國家在不久的將來也會緊隨其後,因為他們都已意識到國家安全和保護市民數據的迫切性。由於區內不同地區數碼發展成熟程度有異,這些國家制訂推行他們各自的「一般資料保護規範 (GDPR)」的發展需時,而往後的發展路向並不明確。儘管如此,在 2019 年我們會見證不少國家首度實施保護市民數據的措施。
歐盟的「一般資料保護規範 (General Data Pretection Regulation, GDPR)」喚醒亞太區企業對他們所收集和儲存的數據的注視。區內的企業可以「一般資料保護規範」作為依據來評核現有守規的現狀與預期的差距,以協助制訂他們整體的防禦形勢。在類似的亞洲版框架出現前,這可能需時數年,企業可以利用「一般資料保護規範」的政策作為依據,把不必要的個人數據收集減到最低,降低在工作流程中的風險和外洩。
烏雲蓋頂的2019年
雲運算對企業開發運算成本不造成沉重負擔,因此已成為企業提供嶄新產品及服務的依靠,間接造就今天應用程式發展蓬勃的時代。雲運算有助簡化部份網絡安全元素,同時亦帶來這方面的挑戰。採用雲運算策略,往往代表任務關鍵的資料和系統將儲存於第三方,確保該等資料安全儲存及傳遞,只有具授權的人士才可取覽至關重要。雲安全不是雲端供應商單方面的責任,而企業必須在資料、應用程式、操作系統、網絡設置等多方面為安全把關。這個互相牽連的生態系統使保安問題更顯複雜,尤其是對於正面對網絡安全人才短缺及忙於應用市場上多種單點產品的企業。
在企業急於推行創新及推出新服務的同時,需處理複雜的運算資源,安全原則輕易被疏忽。DevOps 有助加快開發,但同時難以確保安全,特別是在由傳統資訊科技管理發展到 DevOps 的階段。
要取得成功,企業必須妥善處理工作流程、科技以及最重要的人才,才能確保系統安全。
由多個單點產品組成的舊有保安系統並不足以防禦愈來愈多,並且更加精密的網絡攻擊。很多保安工具仍然依賴手動程序,以致不能迅速地執行新的安全措施,因而對持續而針對性的攻擊防不勝防。要降低網絡危機,必先制訂綜合、自動而有效的管制措施,在攻擊的不同階段,偵測及預防已知和未知的威脅。
關鍵基礎設施
今時今日,關鍵基礎設施並不籠統地用作形容公共基建和資源,並且演化拓展至其他公共行業,例如銀行和金融服務業、電子通訊業和媒體。隨著關鍵基礎設施的數碼化和自動化,企業和工業之間日漸增多的往來,令他們更容易成為網絡罪犯的目標。在工業系統中這將會更加危險,因為監控及數據收集系統 (SCADA) 和工業控制系統 (ICS) 對能源、水和公共交通來說非常重要,而他們卻大都依靠舊有而不相容的系統。
英國的國家網絡安全中心早前已警告,針對選舉和關鍵基礎設施的網絡攻擊不能避免。同樣,世界經濟論壇環境風險報告2018 亦認定網絡攻擊為全球危機之首,僅次於天然災害和極端的天氣情況。2019年,亞洲將會如何準備迎接挑戰?
此刻,基建擁有者初步著重於資料保密方面,卻忽視了另外兩個資料安全的要素:完整性和可用性。區內的國家正採用工業 4.0 技術例如在自動化機器上利用機器學習,所以這兩項要素尤其重要。這些創新會依賴遙測和隨時可取的連接性。在起始階段,公共和私人的關鍵基礎設施擁有者必須實施零信任系統和確保存取資料的隔離性。
關鍵基礎設施擁有者需改變以往以合規為本的手法,而是以安全為目的的模式。監管者和使用者可共同建立一個規管的框架,同時以安全為首的宗旨,設計和維護所有關鍵基礎設施。放棄以例行公事處理的手法,網絡安全應由根本策劃。