全方位保護企業資安威脅：執行滲透測試揭企業保安弱點！

全方位保護企業資安威脅：執行滲透測試揭企業保安弱點！

全球 IT 資安威脅日新月異，讓資安人員疲於奔命設法去防禦，大多都是聽一下廠商講座了解最新防禦資訊，從而得知有什麼方案能解決最新資安威脅問題，然後計劃預算尋找最適合方案。不過道聽塗說真的能幫助我們部署到相關防禦方案，這是否真的能讓企業安然無恙？當面對威脅來臨時，辛辛苦苦所部署的方案是否真的能幫我們防範？我想不會有一個確實的答案。我們只好防範於未然，其中模擬真實環境進行測試是一個可讓威脅減至最低的方法。

近日 NTT Security  便與我們見面，當中分享了她們的公司業務，原來測試企業的風險承受能力及行業合規要求亦是她們的業務之一。她們認為，面對愈來愈跨張的資安威脅，企業有需要計劃和採用、擴展及優化網絡保安、風險和合規管理以簡化及提供更快捷的信息分享、利用新科技來獲取市場資訊，以及不時檢閲及適應不同法規的要求。

同時，NTT Security 本身亦提倡一套保安生命周期 (Full Security Life Cycle) 模式，包括有四個階段 – 計劃和優化、設計和部署、管理和操作，以及回應和教育等，以此基礎為客戶按特定情況提供保安諮詢和管理方案。

模擬不同類型網路威脅

其實 NTT Security 主要以服務為主，因此很難憑三言兩語便可有效介紹。但 NTT Security 亞太區專業服務主管 Richie Tan 先生便補充說︰「我們可以幫企業大規模 DDoS 攻擊演練，我們會由最少的 DDoS 頻寬開始模擬測試，看看企業能承受多大的 DDoS 攻擊，那我們便會知道下一步的計劃，並可提供給企業參考，例如建議企業使用 DDoS 攻擊轉移服務等等。」

若果不是一發不可收拾的龐大攻擊，而是於企業內部爆發的勒索軟體及潛伏多時的 APT 攻擊，NTT Security 是否也能作演練？NTT Security 亞洲區咨詢服務主管馬國鈞先生解釋︰「因為勒索軟體及 APT 攻擊大多都由電郵和 USB 手指引發出來，因此我們會到企業內部模擬一連串演練，例如遺留 USB 手指和發送含有欺詐成份的電郵，觀察員工會不會拿來使用或開啟，最後企業便需考慮是否需要培訓員工。」

其實我們都說了很多次，面對資安威脅，充足的防禦措施當然十分重要，然而核心卻是「人」，只有培訓員工，增強其面對資安危機的觸覺，才是最有效預防對抗網絡安全威脅的方法。