具備資安意識但未做好萬全準備 – 企業努力建構網路防線

Joe Danielson

網路攻擊已佔據最新的新聞版面,針對多元目標進行攻擊,從航空公司醫療院所市議會和銀行。然而,似乎許多企業並未追上網路罪犯的腳步。我們最近與合作夥伴 Genetec 攜手合作,針對 175 名影像監控系統的終端使用者,進行一項調查,以更深入了解網路安全的態勢。

以下為主要發現:

  • 現今許多公司已意識到網路安全性及其潛在影響。事實上,87% 的受訪者表示,其公司已把網路安全性列為自身營運中的嚴重風險;
  • 然而,僅少數公司 (15%) 認為自己充分做好準備,可以減輕網路威脅;
  • 儘管 76% 的受訪者表示,資產的實體保護及安全是他們的主要職責所在,但卻沒有人提到內部攻擊因素也是網路安全性的威脅 (相較於舊型系統);

然而,以上最後一項發現恰好與國際研究發現形成鮮明對比。這些研究發現將意外或蓄意的人為錯誤、設定不佳的系統,以及維護不佳的系統列為最常見的弱點。例如《2018 IBM X-Force 威脅情報指數報告》把三分之二遭盜用的記錄歸咎於人為錯誤上。 較早之前的 IBM 研究發現 更是強化此一事實。此 IBM 研究發現把 95% 的成功入侵都歸咎於這些內部因素。

另一項有趣的發現:60% 的受訪者反而怪罪於舊型系統。雖然這些系統是顯而易見的弱點,但最近部署的韌體與軟體版本其實跟舊版一樣,也都會受到網路威脅所波及。畢竟人造的東西從來無法保證 100% 安全。

這意味著常見的誤解:產品安全性是減輕弱點和危脅的唯一途徑。相較之下,公司必須從許多層面來管理網路風險:人為與機器對機器。那也是為何網路安全性是使用者、維護人員、安裝人員、製造商、顧問等人需要共同承擔的責任。

系統使用者和管理員需要備妥明確的政策、流程及程序,才能確保正確的安全性措施日復一日地執行。有哪些裝置和系統?誰負責這些裝置和系統?維護這些裝置和系統的時機和方法?後續重點則是放在設計、部署及維護網路安全系統上。一般而言,這表示顧問需要建議在系統的使用壽命內合適的網路安全功能和特性。一般都是整合商、安裝人員或專業顧問負責部署和維護系統;他們需要可靠的採購和部署影像監控系統、裝置和元件,以及維護所有相關安全性系統的流程。

對於裝置製造商而言,這表示:

  • 將網路安全的最佳實務應用於我們產品的設計、開發及測試之中,盡量減少在攻擊中缺陷可能遭到惡意探索的風險。
  • 提供如何安全地部署和維護產品的明確說明。
  • 提供裝置管理工具,以簡易、平價的方式應用網路安全控制,例如管理裝置詳細目錄、密碼、韌體升級,以及 HTTPS 和 IEEE 802.1x 憑證等等。
  • 發現重大弱點時,迅速告知合作夥伴和通路這些弱點及可用的修補程式。

許多調查受訪者似乎欠缺管理其所遭遇之各種網路威脅的全面方法。同時,部分受訪者似乎受到最近的網路攻擊頭條所影響。然而,最近的新聞報紙都專注在精細的攻擊,因此當然會使用聳動的標題來協助銷售報紙訂閱。最常見的風險幾乎沒有受到關注:蓄意或意外誤用系統、設定不佳的系統,以及維護不佳的系統。

處理這些風險需要更廣為實用、持續有效的方法,例如,與接受過完整網路安全訓練的人員密切合作,以及為每個系統層面設定明確、可付諸實行的政策、流程和程序。保持面面俱到的心態進行調整,是管理各類型網路安全威脅的不二法門。

或許您已邁向打造強化網路安全的道路,或您只是剛開始體悟到其重要性。不管是哪一種,您和您的企業組織日常採取的行動才是最重要的環節。

還不確定要從哪裡開始著手嗎?

簡易網路安全指南