【網絡保安】應對混合辦公網絡安全威脅　3方面強化保安建「零信任」架構

過去兩年受新冠疫情影響，家用及工作場所對遙距服務的需求急切上升，網絡安全風險大增。Microsoft最新的調查報告顯示，資訊安全總監現時主要面對混合辦公安全，以及人為勒索軟體兩大威脅。電郵漏洞持續威脅企業的網絡安全，當中網絡釣魚導致近七成數據外洩，而惡意電郵亦以超過25種方式出現。

網絡罪犯可利用的攻擊範圍日漸增加，其中網絡罪犯將惡意軟件偽裝成日常的軟件更新，攻擊毫無戒心的員工。勒索軟體黑客更提供「勒索授權軟體」（ransomware as a service ），使用夥伴網絡作出攻擊，令企業更難以判斷真正的攻擊來源。

企業必需集中加強自身的基本網絡安全系統，包括漏洞防護、更新應用程式，以及使用多重要素驗證（MFA） ，以減低可能遭受的影響。

【應對網絡安全威脅 「全民保安」由教育做起：按此】

網絡安全強化「零信任」架構

於混合辦公模式下，雲端服務、流動計算、物聯網和自攜設備成爲大趨勢。員工現今需要使用公司網絡以外的應用程序和資源，運用網絡防火牆和虛擬專用網絡 （VPNs）以隔離和限制對企業技術資源及服務，已不能全面保護企業。

隨雲端日漸普及，不少企業已應用「零信任」（Zero Trust）的概念，革新其安全系統，透過對每一個訪問請求進行身份和裝置合規性驗證，以減低風險。企業更新其「零信任」架構時，應循三大方向考慮：

1. 明確身份認證

網絡安全相關的決策需要考慮所有可用的數據，包括身份、地點、裝置狀態、資源、數據分類及異常狀況。

舉例而言，員工登入每個重要系統時，都需要進行多重識別驗證，不但要輸入密碼，更要掃描指紋或輸入透過手機接收的代碼等

2. 維持最低度的特殊權限存取

企業應根據風險、使用資料的需要，限制使用者存取的權利，確保必需存取資料的員工方可進入系統，而存取資料的時間亦應設有限制。

企業可以設置一個時限予員工存取資料。時限過後，該名員工的權限會被自動消除，降低黑客趁機入侵的機會。

3. 預設系統已有缺口

企業需要預設系統存在安全缺口，在系統內佈置深度防禦。企業可以在系統內設立不同分區，縮小安全缺口波及的範圍。同時，端對端加密、持續監控、自動化威脅偵測及反應，均有助降低被入侵的破壞。

企業應假設已有黑客入侵，潛伏在系統或雲端內，時刻確保所有資料及數據上鎖。當企業準備充足，採取防範措施後，黑客的入侵成本自然增加。黑客預視到入侵成本高、回報率低的時候，很可能會放棄攻擊。

【科技成就時代 港企應把握3大未來趨勢：按此】

Microsoft 的Azure Active Directory每日監控約 5,000萬次的密碼攻擊，惟僅兩成的用戶和三成的全球管理人員使用增強式驗證。因應網絡攻擊的變化，企業需要持續提升「零信任」架構的防護力，運用嶄新的方法驗證身份。Microsoft 現推動無密碼 （Passwordless）登入模式，企業使用者可完全無需傳統密碼，以多種驗證方式登入帳戶、應用程式及服務，既可幫助使用者省去設定、更改密碼的繁雜程序，亦可減少密碼相關的安全風險，加強保護企業及使用者的機密資訊。

儘管「零信任」已成爲全球企業網絡安全防護的趨勢，惟企業需要因應日新月異的網絡攻擊模式，強化其網絡安全架構。。展望未來，零信任安全架構的重點將由防護單個支柱，轉向以綜合的政策和管控實現跨支柱防護，確保防護的一致性和整體性。

【作者簡介】許遵發為Microsoft 香港區域科技長，負責制定政策及將科技相關和可擴展的方案帶進香港市場，公共政策，以促進重點政策範疇的數碼進程。