如何跨越網絡應用的安全陷阱?
談到近年炙手可熱的科技名詞,網絡應用 (Apps) 當之無愧。且看街上、地鐵、餐廳食肆、商場以至公司內的「低頭族」,就知道Apps的魔力有幾大。有研究指,去年第四季全球流動設備的銷量高出個人電腦好幾倍,預計未來五年將有一億二千萬台新手機進入市場。由此可見,流動應用逐漸融入我們的生活,成為衣食住行不可或缺的部分。
在全球熱潮帶動下,流動應用的商機不言而喻。流動設備的普及,衍生了自攜電腦設備上班 (Bring Your Own Device, BYOD) 的潮流;僱主也紛紛開發自家流動應用程式以迎合內、外需求,提升營運效率。
儘管流動應用的優點不勝枚舉,但也觸發無可估計的資訊安全風險。以下是兩種最常見的潛在風險:
(1)流動應用程式愈普及,黑客便愈有機可乘,看準應用程式進行攻擊,盜取重要數據。尤其是現今應用程式大都通過雲運算 (Cloud Computing) 協作來開發,未有進行數據加密便上傳至公共範圍。萬一程式代碼被黑客盜取,甚至利用用戶的登錄資料連接雲服務,繼而進入企業網絡,後果便不堪設想。
(2)流動應用程式的運作有賴數據,但一般使用者只知使用箇中功能,卻忽略了驗證數據來源的可信性、完整性和安全性。因此,企業必須建立穩健完善、有條不紊的資訊保安架構,才能應付安全、隱私和信任相關的挑戰。
水能載舟亦能覆舟,我們在享用流動應用帶來的優勢之際,千萬不要被伴隨而來的資安風險拖垮。以下建議值得留意:
- 設定架構、培養操守:調整商業模式、提高風險意識,妥善管理數據和用戶的隱私。開發人員及用戶的教育十分重要,確保大家從一開始就關注到資訊安全,而不是在發生問題後才怨聲載道或推卸責任
- 開發流程不容有失:企業開發流動應用程式時,務必以資安為首要考慮,儘可能重用原有的測試及安全模組,以策萬全;同時要經常檢查相關的支援及保安基建,確保所有漏洞都得到處理和監控;也要在模擬情況下,測試應用程式應對現有和新興安全威脅的能力。
- 操作管理:落實周全管理制度,確保流動應用程式的操作保持一致和規範。同樣重要的是程式代碼、補加程式以至操作漏洞的管理;還需為災難復原做好準備,萬一遭受黑客攻擊,亦可確保資訊安全。
資安顧問服務日益普及
資安威脅接踵而來,企業需要有系統、有效率的保安架構,也需要恰如其分的數據和專業經驗,以便分析問題、管理風險,體現真正成本效益。做好防範措施,既可讓用戶受惠於嶄新流動應用,企業也毋須為網絡安全而憂心忡忡。
教人欣喜的是,託管式保安服務 (Managed Security Service) 近年在香港萌芽。企業毋須擔心是否具備足夠知識應付資安挑戰,因為MSS供應商的顧問可代勞,為你評估風險、提供建議,並有效執行。是時候未雨綢繆,好好保護企業內最重要的資產。
作者為NTT Com Security公司區域總監龔玨萱