網絡安全威脅超跨張!2017 年資安事件 5 大預言
就快又來到了 2016 年年尾了,每年這個時候各家廠商便會開始對來年的一些趨勢進行預測,而今年我們第一份收到的預測是由 Check Point 提供的,當中她們總結了 2016 年資安事件並對來年作出預測,我們且看看她們的預測是否準確。
2016 年是各行各業、各種大小型企業屢遭資料外洩之苦的一年,即使相關機構適時發出了預警,而事實一再證明,在複雜的網路攻擊面前,沒有人可以免受攻擊。
根據身份竊盜資源中心(Identity Theft Resource Center)統計,截至今年 10 月 19 日為止,已發生 783 起記錄在案的資料外洩事件,累計多達 2900 多萬筆資料(請注意,這數字並不包括那些僅公布發生資料外洩事件,但卻不願公布細節的公司的外洩狀況。)這告訴我們什麼呢?資料外洩正變得越來越普遍,全無減緩趨勢。此外,研究還發現這些外洩事件多數是針對高價值的資料:社會安全碼、加密醫療資訊、信用卡和簽帳卡號碼、網路釣魚、外包商/協力廠商導致的外洩,甚至還有電子郵件、密碼和其他的使用者登錄資訊。
展望 2017 年,Check Point 預計將會出現以下的安全威脅和趨勢:
流動裝置
針對流動裝置的攻擊持續增長,研究人員發現來自於流動裝置的企業資料外洩事件,將成為最重要的企業安全問題。最近有國家支援的駭客,針對記者手機上的資料進行攻擊,意味著這些攻擊方法已經在全球蔓延,未來大家也會看到組織型犯罪者採用這種方法。
工業用物聯網(IoT)
在明年,網路攻擊的範圍將擴展至工業用物聯網。資訊技術(IT)和作業技術(OT)的融合,使環境變得更加脆弱,特別是作業技術或資訊採集與監控系統(SCADA)等環境。這些環境通常採用舊型系統,通常缺乏可用的修補程式,或更糟,根本不進行修補。製造業需要將系統和實體安全控制擴展至單一虛擬平台,並在 IT 和 OT 環境中落實威脅防護解決方案。
關鍵基礎架構
關鍵基礎架構極易受到網路攻擊。幾乎所有的關鍵基礎架構設施,如核電廠和電訊塔,都是在網路攻擊威脅出現之前便設計和建造的。在 2016 年初,便有新聞報導指出,發生了有史以來第一次因網路攻擊蓄意造成的停電事故。關鍵基礎架構的安全規劃人員需要為一切可能性做好規劃,其網路和系統將會發現與許多攻擊方法與眾多不同攻擊發動者(包括來自民族國家、恐怖主義,語組織型犯罪)採行的方法一致的現象。
威脅防禦
對於企業來說,勒索軟體將變得和分散式阻斷服務(DDoS)攻擊一樣普遍,如何預防這些攻擊,將成為企業營運成本的一環。由於勒索軟體的存在,企業需要部署多方面的預防策略,包括進階沙箱和威脅萃取,以有效保護其網路安全。企業也需要考慮其他的方法來應對發起勒索軟體活動的攻擊者,例如與同業協調進行取締和執法行動,以及建立預備資金以加速付款(如果這是唯一的可以降低損害的選擇)。我們也將看到「合法的」攻擊者發動更有針對性的攻擊,來影響或讓一個組織噤聲。剛剛結束的美國總統競選活動,便顯示了這種可能性,並且將成為未來大選的先例。
雲端運算
隨著企業持續在雲端儲存更多資料,等於為駭客打開通往其他企業資訊系統的大門。攻擊、中斷或關閉主要的雲端服務供應商,將衝擊該供應商所有客戶的業務。這種具備干擾性的作法,將被作為影響特定競爭對手或組織的手段,更由於鎖定的競爭者將僅是眾多受影響者之一,使得攻擊動機更難被發現。此外,勒索軟體攻擊也將影響更多雲端運算資料中心。隨著越來越多的企業組織採用包括公有雲和私有雲在內的雲端運算架構,這些類型的攻擊自然會開始尋找新的方法來攻擊這些新的基礎架構類型,藉由加密檔從此雲傳播到彼雲,把雲端運算架構當成是擴大攻擊效果、範圍的工具。
最近發表的 Check Point 安全報告,在某種層面上,對 2017 年資訊安全提出了一個複雜的預警。就行動、雲端運算和物聯網而言,其企業採用的引爆點早就已經發生,如今也都成為業務運作重要的一部分,而網路犯罪者亦已因應這些轉變,調整了攻擊技術。更令人感到擔憂的是,從惡意軟體和勒索軟體採用的手法,研究人員已經發現駭客這種與時俱進的轉變,便是每分鐘都會有新的變種出現。採用特徵比對技術的防毒軟體便足以對抗惡意軟體的時代已經過去。企業組織可以依據上述預測來制定自家的資訊安全計畫,以在新型態的網路威脅面前能領先一步,並在攻擊可能造成損害之前,便加以阻止。
以上資訊由www.hkitblog.com提供
Categories: 未分類 Tags: CHECK POINT, 基礎架構攻擊, 威脅防禦, 流動裝置安全, 物聯網安全, 網絡安全, 網絡安全趨勢, 網絡攻擊, 資安, 資安漏洞, 資安趨勢, 雲端安全, 駭客入侵, 駭客攻擊
今天我們收到了一份由 F5 Networks 發表,名為 2015 年亞太區應用程式交付狀況的調查報告,當中的結果顯示隨著機構擁戴「雲優先」哲學,有越來越多企業應用程式被移至雲領域。調查數據來自 3,200 名亞太地區的資訊科技決策人,調查結果詳列他們現時及計劃使用的應用程式服務。
應用程式數量與日俱增,雲應用提供所需彈性
調查結果進一步顯示使用應用程式的亞太區公司數量正在上升,而且沒有衰減的跡象。近半 (45%)受訪者現時部署 1 到200 個應用程式,另有近一成公司現時部署超過 3,000 款應用程式。研究並指出最少有 41% 的資訊科技決策人對於在2016 年前把旗下不多於四分一 (24%)的應用程式移到雲上抱持開放態度,另外有 24% 受訪者表示樂意把 25% 至 50% 的應用程式移到雲領域。
由於應用程式繼續成為商業策略的關鍵部份,機構都希望雲部署可以具備與數據中心所見相同的信心度。今天,各行各業的公司都依賴應用程式來強化客戶忠誠度、增加員工生產力和創造更多收入。事實上,研究亦顯示出流動應用程式和大數據分析被視為物聯網中最重要的趨勢。這些結果反映混合環境應用在區內越來越普遍,企業漸多採用實地與非實地方案的組合。
採用混合雲的障礙
雖然混合雲越來越受歡迎,29% 的公司認為採用速度較慢,是因為無法找到全面的身份與存取政策。另外有 35% 受訪者承認內部人員對雲使用知識不足,拖慢了採納的進程。
應用程式保安成首要任務
調查結果也揭示亞太地區企業視保安為應用程式的首要任務,地位重於可用性和效能。事實上,42% 受訪者相信應用程式服務在沒有保安的情況下根本不能部署。但是令人憂慮的,是有四份之一的受訪者表示未有計劃部署 DDoS 保護,顯示亞太地區很多機構仍然未能看清各種襲擊可對業務構成重大威脅。
以上資訊由www.hkitblog.com提供
今天我們收到了一份名為 2015 年亞太區應用程式交付狀況的調查報告,當中的結果顯示隨著機構擁戴「雲優先」哲學,有越來越多企業應用程式被移至雲領域。調查數據來自 3,200 名亞太地區的資訊科技決策人,調查結果詳列他們現時及計劃使用的應用程式服務。
應用程式數量與日俱增,雲應用提供所需彈性
調查結果進一步顯示使用應用程式的亞太區公司數量正在上升,而且沒有衰減的跡象。近半 (45%)受訪者現時部署 1 到200 個應用程式,另有近一成公司現時部署超過 3,000 款應用程式。研究並指出最少有 41% 的資訊科技決策人對於在2016 年前把旗下不多於四分一 (24%)的應用程式移到雲上抱持開放態度,另外有 24% 受訪者表示樂意把 25% 至 50% 的應用程式移到雲領域。
由於應用程式繼續成為商業策略的關鍵部份,機構都希望雲部署可以具備與數據中心所見相同的信心度。今天,各行各業的公司都依賴應用程式來強化客戶忠誠度、增加員工生產力和創造更多收入。事實上,研究亦顯示出流動應用程式和大數據分析被視為物聯網中最重要的趨勢。這些結果反映混合環境應用在區內越來越普遍,企業漸多採用實地與非實地方案的組合。
採用混合雲的障礙
雖然混合雲越來越受歡迎,29% 的公司認為採用速度較慢,是因為無法找到全面的身份與存取政策。另外有 35% 受訪者承認內部人員對雲使用知識不足,拖慢了採納的進程。
應用程式保安成首要任務
調查結果也揭示亞太地區企業視保安為應用程式的首要任務,地位重於可用性和效能。事實上,42% 受訪者相信應用程式服務在沒有保安的情況下根本不能部署。但是令人憂慮的,是有四份之一的受訪者表示未有計劃部署 DDoS 保護,顯示亞太地區很多機構仍然未能看清各種襲擊可對業務構成重大威脅。
以上資訊由www.hkitblog.com提供
對於每一間將資料儲存到雲端的企業來說,安全性是一個主要的擔憂。資料在雲端內得到安全的最佳方法有哪些?
安全性是許多IT服務最主要的擔憂,包括雲端儲存服務。企業級的雲端儲存供應商提供了一些工具來保護業務資料和控制存取,而企業在選擇雲端儲存供應商的時候需要提出什麼類型的問題?
加密是雲端儲存最基礎的部分。企業必須選擇一個能夠支援動態和靜態加密的雲端儲存供應商。Amazon Web Services(AWS)能夠在SSL連接的基礎上將資料從簡單儲存服務(S3)中取出來,使用AES-256對資料進行加密保護。
AWS供應了幾個主要的管理方法,能夠為客戶管理金鑰或者使用企業供應的金鑰對資料進行加密。相比之下,Google則對靜態資料使用預設的AES-128加密和金鑰管理。
然而,一些公司對於雲端儲存供應商持有自己業務資料的金鑰感到不安。要解決金鑰管理方面的問題,雲端儲存使用者可以使用Amazon S3的用戶端加密這類工具,用戶端可以對資料進行加密和管理金鑰。為了確保資料在上傳到雲端供應商之前是安全的,企業可以選擇Viivo, Sookasa或者Cloudfogger的加密工具。
大多數大型的雲端儲存平台是非常安全,但是企業的IT部門仍然需要在資料保護方面做好自己份內的工作。例如AWS的共同責任條款就指出企業的IT部門在他們自己的作業系統,資料和應用方面的安全義務。
除此之外,企業級的雲端儲存使用者還可以使用存取控制清單,多重身份驗證,多重刪除保護以及密碼認證或者存取控制機制。當有人試圖存取資料、增加或刪除資料和採取其他行為時,可以通過事件通知的方式來提醒IT部門。這種管理方式可以滿足某些監管部門或政府的要求。
以上資訊由www.hkitblog.com提供
BYOD(Bring Your Own Devices),又是 BYOD!BYOD 政策下,員工可自己攜帶不同的裝置回公司使用,存取公司指定的網絡等,然而 BYOD 卻帶來一系列的安全隱憂,早前我們亦有提過;不過讓員工使用回自己所熟悉的流動裝置,的確能提升整體效率。根據一份最近發表的報告顯示,現時全球自攜裝置和企業流動市場出現爆炸性增長,預料會從 2011 年的 672.1 億美元增加至 2017 年的 1813.9 億美元,年複合增長率高達 15.17%。由此可見,讓員工自由選擇使用甚麼裝置,不單可提升生產力,亦可令他們隨時隨地繼續存取電郵、檔案和文件。
方案背後…往往危害數據安全及完整性
自攜裝置趨勢大行其道,員工時常登記使用免費的消費者級別檔案共享服務,例如 Dropbox、Apple iCloud 和 Google Drive。換句話說,員工通過完全不受 IT 部門管控的平台與第三方共享業務文件和儲存文件。企業 IT 服務消費化及自攜裝置的盛行,正危害企業資訊資產的安全及完整性,並構成重大威脅。例如數據洩漏和知識產權損失、違反保密性和保留規定、令企業網絡面對外部威脅,其中一個可能會出現的情況,就是 Dropbox 數據被攔截的例子。
根據 USENIX 2013 發表的報告,Dropbox 的 SSL 數據及雲端儲存供應商提供的雙重認證可被輕易攔截及繞過。一旦 Dropbox 帳戶被入侵,每日儲存於 Dropbox 平台逾十億的檔案將會成為黑客的目標,逾一億用戶將受到重大影響;為了安全而有效地儲存和傳輸數據,企業必須提供這些共享服務以外的檔案同步及共享平台,讓用戶可隨時隨地於任何裝置上存取數據和進行協作,並且通過接受企業監管及使用基於物件儲存的私有雲端以保障安全。
為成功部署一個符合數據安全並可帶來理想投資回報的檔案同步及共享方案,IT 機構應考慮以下重點:
1. 按用量收費的儲存方案
企業必須物色一個可讓他們按用量調節儲存數據的方案,儲存於數據中心以內能夠消除涉及公共雲端服務所帶來的安全風險。能夠把流動應用程式及業務數據按用量限制,存放於專屬防火牆之內,受所有相關防禦設施保護,如防毒保護和存取控制等,是達到安全保護的唯一方法。
2. 嚴謹安全控制
員工的工作往往涉及敏感數據,例如報價單和銷售合約。因此檔案應經過加密及通過 SSL 傳送。根據所需的控制水平,企業應考慮對個別檔案實施嚴謹控制,例如在指定設置實行密碼保護,甚至部署遙距銷毀以及記錄存取追蹤和報告功能。
3. 自我保護儲存配置
企業必須考慮數據增長涉及的所有隱藏成本,例如備份支出。員工期望他們的數據受到 IT 部門保護,但備份這麼大量的數據涉及高昂成本和複雜性。為克服這方面的挑戰,企業可為其檔案同步及共享方案配搭自我保護儲存配置,毋須備份亦可保護數據。
鳴謝:日立數據系統(Hitachi Data Systems)
日立數據系統提供資訊科技、服務及解決方案,為用戶改善資訊科技的成本支及靈活程度,以資訊革新,創建一個不同的世界。日立數據系統在全球的員工總數超過 6,100 名,業務遍及 100 多個國家與地區,產品、服務及解決方案深受世界各地的大型企業信賴。現有客戶包括《財富》雜誌「美國 100 大企業」(Fortune 100)排名榜上七成以上的公司,以及該雜誌「全球 100 大企業」(Fortune Global 100)排名榜上的逾八成公司。
以上資訊由www.hkitblog.com提供
Categories: 市場快訊 Tags: Apple iCloud, Bring Your Own Devices, BYOD, cloud, DROPBOX, Google Drive, HDS, PRIVATE CLOUD, PUBLIC CLOUD, 保密性, 保留規定, 公有雲, 外部威脅, 安全風險, 數據洩漏, 日立數據系統, 檔案共享, 流動裝置, 知識產權損失, 私有雲, 違反, 雲端, 雲端安全, 雲端安全問題, 雲端安全性, 雲端安全認證, 雲端應用, 雲端方案, 雲端服務, 雲端硬碟