如何不讓應用系統成為企業資安防禦的短板?

現在我們可以使用個人現有的Google或Facebook帳戶登入到不同的應用程式,而無需建立新的登入帳號,為攻擊者提供了一個更大的表面區域,建立了數百萬個攻擊的弱點。

亞太地區有機會成為全球成長最快的創新中心,世界各地的企業家越來越多地選擇在這裡建立基地並進行投資。這種數位文化的轉變也使的企業不斷增加創新支出,以保持領先的競爭力。例如在中國,微信App已經被認為是未來應用程式的趨勢,彭博社更指出,微信是超過十億人使用的「運行中國經濟」手機應用,它從視訊、語音短信、智慧訂位到管理個人財富基金都可以執行。

不過這種應用狂熱不僅局限於中國。在台灣我們也看到以應用程式為中心的上升趨勢。現在從手機、手錶、汽車到電視,運用應用程式可以打造個人專屬數位生活,如國際行動支付服務,台灣除了最早期的t Wallet行動支付,在 Apple Pay、Android Pay、Samsung Pay 陸續開放後,更增加了付款上的便利。

此外,現在我們可以使用個人現有的Google或Facebook帳戶登入到不同的應用程式,而無需建立新的登入帳號。雖然這些功能為我們提供了無憂的體驗,但也在隱私和應用程序安全性方面也存在高風險代價。隨著多人使用多種設備與網際網路的連接,為攻擊者提供了一個更大的表面區域,建立了數百萬個攻擊的弱點。這些連接的設備通常包含指向個人資產等隱私的機密資訊,

常因個人便利需求與對安全的輕忽,提供給攻擊者竊取敏感資料的機會。

事實上自2010年以來,網路犯罪分子用來攻擊企業、政府和消費者的精密程度和隱身程度也在逐步提高,世界經濟論壇已將「網路安全」問題,列入2018年全球前5大危機。此外,預計2018年五月上路的歐盟「通用資料保護法規GDPR」,也可能遭駭客利用發展勒索新手法,駭客可從各公司公開的資訊計算出 GDPR 對其最高的罰鍰,透過竊取個資進行勒索,將使得資料外洩攻擊與勒索情況更嚴重。

行動,沒有應對

網路安全今天受到更高的關注,應用程式面對無所不在的威脅。 無論是發動DDoS攻擊的殭屍網路或者試圖打破應用安全圍牆的惡意軟體像家用IP Webcam,事實是有些攻擊者每四秒嘗試一次惡意攻擊。 網路攻擊現在有能力癱瘓公司財務,並可能在未來五年內造成大規模破壞。

無論企業規模大小都必須及時回應,否則將導致潛在的財務損失與損害公司的聲譽。安全必須是積極主動的,而不是被動的。儘管並非所有網路攻擊都是可預防的,但企業可以採用主動安全方法將損失和意外停機時間降至最低,從而使他們能夠在嚴重性升級之前識別威脅。面對新的安全威脅和暴增的網路流量,最重要的是維持網路敏捷度。

預防,而不是治愈

應用程式的激增意味著工作區不再局限於傳統的單一辦公環境,數位化工作者現在越來越需要遠程存取,這也意味者公司敏感資料隨時隨地暴露在風險環境中。

一個不安全的設備就是危及整個企業網路的一切。

當惡意人士發動攻擊時,他們將尋求最可能成功的向量:應用程式和帳密。我們知道這個事實,F5威脅研究機構F5 Labs深入分析十年來發生的433攻擊事件,結果發現86%攻擊者把目標瞄準應用程式或使用竊取而得的帳密。

或許更大的警訊是,這幾年不論案件數量或者從受害者竊取的利益都呈現增加趨勢。過去十年,攻擊者已竊得120億筆資料。攻擊者的技術越來越精進,而且邁向自動化。2018的攻擊數量只會增加不會減少。今天的攻擊者運用各種機制潛入組織內部。大量遭竊的帳密,被惡意人士用來發動帳密填充攻擊。當出現平台或架構層級安全脆弱性時,從揭露到修補之間的時間差,往往讓攻擊者趁機成功發動大量攻擊。

面對這些威脅,企業必須採取措施減少此類攻擊的可能性和影響。第一步是在商業運算與存取設備上安裝包含反病毒,反間諜軟件和反垃圾郵件等過濾器安全軟體。這和防火牆並存應該有助於保護內部網路和可攜式商業設備。

傳統,而不是行動

即使您擁有最先進的安全技術,員工仍然是最薄弱的環節。在最近的IBM的一項研究指出,人為錯誤是導致95%以上的網路攻擊的一個因素。這也顯示員工在不知情狀況下帶來安全漏洞,也對公司造成傷害。今天的網路犯罪者本質更加無情和惡意,非僅貪圖金錢利益甚至想摧毀企業數十年建立的聲譽。網路安全性已不再是一個是否應納入整體成長策略的問題,而是該如何進行投資。

一家公司的網路安全與其最薄弱的環節一樣強大。

企業需要將網路安全作為重中之重,明確宣傳其安全策略,教育員工如何發現網路攻擊的潛在威脅,以及面對此類攻擊時應採取的措施。這可以通過將網路安全納入員工持續的培訓和教育課程來實現。

首要之務是要為你需要保護的對象區分優先性。例如,在一個以應用為中心的環境中,你應該查明網路內的所有應用程式,不論是否由IT部署或者員工私自安裝的應用,並且確保那些最脆弱的應用獲得必要的保護。

同樣重要的是必須謹記,網路安全是每個人的責任而非只是IT工作。不同部門之間,從財務到資深管理階層等的持續對話,有助於發現關鍵的安全脆弱性、了解終端使用者行為、規劃有效且強力的網路安全策略、得到所需的支持以便於實施涵蓋整個企業的安全計畫。最後要強調的是,網路安全應成為企業每一環節不可忽視的部分,如此才能確保獲得客戶信任和保護本身的利潤。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416