今年以來,保安事故頻生,本港連接有旅行社和電訊商受到攻擊,Microsoft委託Frost&Sullivan進行的「了解亞太地區網絡安全威脅形勢:在數碼世界確保現代企業安全」調查。
研究針對1,300名業務和IT決策者;涵蓋亞太區十三國家地區,每地訪問一百名受訪者;全部來自中型企業 (250-499名員工) 和大型企業 (超過500名員工);包括香港、中國和台灣。
Microsoft亞洲首席安全長Michael Montoya說,企業面對網絡攻擊,往往流於被動,損失金額愈來愈高。去年WannaCry攻擊,導致了英國八十多家醫院受影響,甚至手術取消;不久NotPetya勒索軟件入侵烏克蘭,嚴重打擊經濟,估計導致烏克蘭損失5%的國內生產總值,不可謂不嚴重。
黑客取易不取難
Microsoft剛出版了第23期Security Intelligence Report,探討實體和雲端的保安課題,報告乃基於Microsoft每月掃描超過4000億郵件,4500億次登入、掃描180個網頁,並保護12億個設備,所獲結論甚富代表性。
Montoya說,僵屍網絡仍控制全球數以十億計的設備;去年Microsoft就瓦解了其中最大僵屍網絡Gamarue。大部黑客仍傾向取易不取難,常以釣魚程式,騙取密碼資訊;而勒索軟件則仍屬網絡最大威脅之一。
Montoya說,安全漏洞事故成本更高;從去年事故規模可見一斑。物聯網(IoT)加上雲服務和流動運算的影響下,保安事故損失,可達以億美元計。
網絡互信重中之重
數碼化轉型發展,亦打破以往保安模式,防火牆已無法全面保護,反而網絡空間,如何建立信任(Trust),減少保安系統的複雜程度,更成為關鍵。Montoya指出,黑客甚至透過軟件供應鏈發動攻擊,入侵上游的軟件供應商,透過軟件更新發動攻擊;烏克蘭的NotPetya攻擊,就是透過一家會計軟件更新散佈。
「IoT加上不同雲運算,數碼化轉型之下,互聯的服務更多,如何確保彼此信任,成為最大挑戰。」
Frost & Sullivan亞太區資訊及通訊科技、網絡安全、物聯網及互聯工業行業顧問Kenny Yeo指,研究顯示安全事故,導致潛在經濟損失,可達港幣2,500億 (320億美元),約佔本港25, 000億港元GDP的一成。近一半受訪本港企業(48%),曾經歷網絡安全事故或不確定是否發生過事故,23%明確表示了解經歷事故,四分一則因未進行適當取證或數據洩露評估,故不能確定。
保安方案多多益善?
研究也指出,IT安全設備並非愈多愈好,企業內有太多保安方案,事故不降反升。調查發現,擁有26-50種保安方案,出現事故比率最低;超過50種方案,事故比率卻更高;56%受訪者只有少於10個網絡安全方案,亦可於一小時內,從攻擊中復原,打破了以往普遍相信,部署大量方案,可提供更強保護的觀念。
Montoya也同意,IT安全須運用不同廠商方案,但太多則架床疊屋,黑客有機可乘。「重質不重量,Microsoft亦大幅減少保安方案,避免複雜整合所導致漏洞。」
香港電腦保安事故協調中心高級顧問梁兆昌說,不少網絡攻擊,以榨取金錢為目標,與物聯網相關攻擊增加,包括控制攝錄鏡頭、打印機、會議系統。預計流動付款程式、供應鏈攻擊亦會增加;假冒郵件攻擊也不斷上升,以冒認身分為例,透過冒認行政總裁的郵件,招致一家本港企業,損失超過一百萬港元。
梁兆昌認為,未來法律的規管,有助改善網絡保安。雖然亦有意見,網絡安全和私隱規管條例,類似歐洲的GDPR,實際上令IT保安挑戰更大。梁兆昌說,上述乃基於GDPR條例,跟互聯網架構的抵觸;特別是針對Whois工具,查閱域名擁有人身份功能。鑑於Whois無法通過GDPR條例,有域名註冊商已遮蔽了域名個人資料。梁兆昌認為,有關爭議最終會獲得解決。
Montoya說,人工智能 (AI) 將為網絡防禦下一個重要元素。AI作成為打擊網絡攻擊的工具,可洞察大量數據,偵測威脅採取行動。Microsoft就是從不同服務蒐集數據,以AI和Graph理論分析,馬上發現系統的不尋常。「即使以往極難發現,透過PowerShell發動的攻擊,如今大數據和AI檢視之下,亦無所遁形。」
研究亦顯示,多於五分之三 (64%) 本港企業,已經或正計畫藉AI促進網絡安全。AI可分析和應對前所未有的大量數據。現時網絡攻擊的頻率、規模和複雜性,不斷提高,以AI驅動網絡安全架構,透過智能化驅動,以快打慢,甚至防範未然,已是未來趨勢。