【網絡保安】應對混合辦公網絡安全威脅 3方面強化保安建「零信任」架構
▲ 【網絡保安】應對混合辦公網絡安全威脅 3方面強化保安建「零信任」架構
過去兩年受新冠疫情影響,家用及工作場所對遙距服務的需求急切上升,網絡安全風險大增。Microsoft最新的調查報告顯示,資訊安全總監現時主要面對混合辦公安全,以及人為勒索軟體兩大威脅。電郵漏洞持續威脅企業的網絡安全,當中網絡釣魚導致近七成數據外洩,而惡意電郵亦以超過25種方式出現。
網絡罪犯可利用的攻擊範圍日漸增加,其中網絡罪犯將惡意軟件偽裝成日常的軟件更新,攻擊毫無戒心的員工。勒索軟體黑客更提供「勒索授權軟體」(ransomware as a service ),使用夥伴網絡作出攻擊,令企業更難以判斷真正的攻擊來源。
企業必需集中加強自身的基本網絡安全系統,包括漏洞防護、更新應用程式,以及使用多重要素驗證(MFA) ,以減低可能遭受的影響。
【應對網絡安全威脅 「全民保安」由教育做起:按此】
網絡安全強化「零信任」架構
於混合辦公模式下,雲端服務、流動計算、物聯網和自攜設備成爲大趨勢。員工現今需要使用公司網絡以外的應用程序和資源,運用網絡防火牆和虛擬專用網絡 (VPNs)以隔離和限制對企業技術資源及服務,已不能全面保護企業。
隨雲端日漸普及,不少企業已應用「零信任」(Zero Trust)的概念,革新其安全系統,透過對每一個訪問請求進行身份和裝置合規性驗證,以減低風險。企業更新其「零信任」架構時,應循三大方向考慮:
1. 明確身份認證
網絡安全相關的決策需要考慮所有可用的數據,包括身份、地點、裝置狀態、資源、數據分類及異常狀況。
舉例而言,員工登入每個重要系統時,都需要進行多重識別驗證,不但要輸入密碼,更要掃描指紋或輸入透過手機接收的代碼等
2. 維持最低度的特殊權限存取
企業應根據風險、使用資料的需要,限制使用者存取的權利,確保必需存取資料的員工方可進入系統,而存取資料的時間亦應設有限制。
企業可以設置一個時限予員工存取資料。時限過後,該名員工的權限會被自動消除,降低黑客趁機入侵的機會。
3. 預設系統已有缺口
企業需要預設系統存在安全缺口,在系統內佈置深度防禦。企業可以在系統內設立不同分區,縮小安全缺口波及的範圍。同時,端對端加密、持續監控、自動化威脅偵測及反應,均有助降低被入侵的破壞。
企業應假設已有黑客入侵,潛伏在系統或雲端內,時刻確保所有資料及數據上鎖。當企業準備充足,採取防範措施後,黑客的入侵成本自然增加。黑客預視到入侵成本高、回報率低的時候,很可能會放棄攻擊。
【科技成就時代 港企應把握3大未來趨勢:按此】
Microsoft 的Azure Active Directory每日監控約 5,000萬次的密碼攻擊,惟僅兩成的用戶和三成的全球管理人員使用增強式驗證。因應網絡攻擊的變化,企業需要持續提升「零信任」架構的防護力,運用嶄新的方法驗證身份。Microsoft 現推動無密碼 (Passwordless)登入模式,企業使用者可完全無需傳統密碼,以多種驗證方式登入帳戶、應用程式及服務,既可幫助使用者省去設定、更改密碼的繁雜程序,亦可減少密碼相關的安全風險,加強保護企業及使用者的機密資訊。
儘管「零信任」已成爲全球企業網絡安全防護的趨勢,惟企業需要因應日新月異的網絡攻擊模式,強化其網絡安全架構。。展望未來,零信任安全架構的重點將由防護單個支柱,轉向以綜合的政策和管控實現跨支柱防護,確保防護的一致性和整體性。
【作者簡介】許遵發為Microsoft 香港區域科技長,負責制定政策及將科技相關和可擴展的方案帶進香港市場,公共政策,以促進重點政策範疇的數碼進程。
撰文 : 許遵發 Microsoft 香港區域科技長
欄名 : 微軟觸跡