預測一:令人震驚的商務電子郵件入侵
企業正快速成為網路犯罪者喜愛的目標。過去五年來,全球企業因為電子郵件詐騙事件導致的損失已超過120億美元。企業環境的帳密和登入資料竊盜事件越來越普遍,使得攻擊者變得更有信心且更積極的瞄準中小企業,偽裝成企業夥伴或內部人員進行詐騙,如果企業未能在這方面做更好的因應,此種攻擊型態將繼續危害企業。商務電子郵件入侵風險的升高,正突顯攻擊者越來越多樣化且複雜的攻擊手法,從模仿公司網站到瞄準員工社交媒體帳號以發動入侵攻擊等。攻擊者為了迴避內部檢查,使用的手法越來越狡猾,企業在2019年能否在此賽局中打敗網路犯罪者?令人懷疑!
忠告
企業應儘可能審視他們的內部資訊流程,建置更完備的的檢查與核准程序,特別是與資源變動相關的事項。就我們所知,密碼仍是電腦安全性最脆弱的環節,因為很容易遭竊、難以確保安全、而且對使用者身分識別只能提供粗淺的證明。因此,雙因子、多因子與生物驗證等方法的採用,在2019將越來越普遍。
預測二:供應鏈將是你最脆弱的環節
數位世代打破了建立一個全球供應鏈互連的實體障礙,讓企業非常容易從全球找到供應商和委外服務。這些鏈結(包括共享資料與網路)讓企業透過連接性與分析,建立新的營運效率。然而,這也為覬覦既有安全弱點的投機型攻擊者提供一個有利可圖的機會。這類風險在醫療產業會越來越明顯,一些第三方連接的醫學設備例如MRI和X光機每天都會接入內部網路,產生許多醫院幾乎無法管控新的攻擊層面和安全弱點。
隨著全球供應鏈日趨複雜化,要確切找到並避免網路安全風險,將很快變成不可能的任務。或許身處其他產業的組織也該開始問:「我們知不知道有什麼人、組織或其他第三方單位連接到我們的網路?你是否知道組織的安全仰賴於哪些系統與服務?」
忠告
資安長將需仔細檢查網路中流量,確保敏感資訊維持與外部裝置/系統分離並且處於安全狀態。由於有很多不安全的裝置連接到企業網路,物聯網(IoT)很快就會變成一種網路威脅互連網(IoC, internet of cyberthreats)。儘管在許多情形下,或許無法避免使用一些特定的第三方應用和互連裝置,不過企業在採購這些裝置或服務時,應更加注意內部安全標準。這包括確保韌體和應用程式維持最新狀態,而且必須變更預設的登入組態。如果第三方系統與裝置將常駐在你的網路,則應運用一種Zero Trust模式以檢測和驗證所有流量,將它們放在一個只允許授權使用者和應用程式與之通訊的區域。在2019年,不安全的互連裝置將如同任何電腦或智慧手機那樣,變成攻擊者任意進出的閘道。
預測三:資料保護立法在亞太地區日漸成熟
由於亞太國家承諾要在網路安全方面擴大合作,因此資料保護框架將無可避免的邁向正規化。例如澳洲與新加坡等國已跨出第一步,而該地區其他國家也將很快跟進,因為他們都警覺到國家安全與民眾資料保護的迫切性。由於各國家數位成熟度不一,因此這些國家將需要一些時間才能推出他們的個人資料保護法(GDPR)版本,而且前面的路途將不會是平直的。不過,許多國家在2019將朝個人資料保護立法跨出第一步。
以台灣來說,「個人資料保護法」已於2012年10月1日施行。修法參照亞太經濟合作組織(APEC)隱私權保護原則,以及多個國家的個人資料保護法立法情況。但隨著GDPR的上路,臺灣個資法預期將會盡速修改條文以跟上世界潮流,特別是與全球接軌的國際性企業,更必須配合調整內部作業流程,以確保符合相關規範。此外,「資通安全管理法」也已於2018年5月11日三讀通過,未來台灣資安發展將邁向制度化,跟上全球資安趨勢。
忠告
歐盟個人資料保護法(GDPR)喚醒亞太地區企業組織必須注意他們收集和儲存的資料。這個地區的企業可以利用GDPR作為一個基準,以評估現有資料法規遵循和決定整體預防狀態。亞太地區或許需要好幾年才會出現一個類似的泛區框架,不過企業可利用GDPR的政策,開始減少不必要的個人資料收集,以在形成過程中降低風險和資料暴露的機會。
預測四:多雲應用預料在2019年更為普遍
現在app世代的興盛有部分原因是拜雲端運算之賜,雲端已成為企業提供新產品與服務的一個便利資源,無需承擔繁重的初始運算資源投資。雲端運算協助簡化一些領域的安全性,但同時也呈現新的挑戰。雲端運算策略的建置往往意謂著關鍵資料與系統將與第三方共處。這些資產將需要安全的儲存和傳輸,而最重要的是只能允許授權使用者存取。雲端安全性並非只是雲端服務供應商的單獨責任,企業也必須共同確保資料、應用程式、作業系統、網路組態安全。這個糾結在一起的生態系統已使得安全性變得更加複雜,特別是對於已因為網路安全人才難求以及如何採納市場上單功能產品而備感困擾的企業。
忠告
企業正加速邁向創新和提供新服務,同時必須處理龐大的運算資源,因此很容易忽略了安全專業訓練。DevOps可以協助加速開發,但在安全性的建立與維護上可能面對挑戰,特別是從傳統IT管理轉移到DevOps的過程。
為確保成功,企業最終必須掌握流程、技術以及最重要的人才,才能維護適當的系統安全。
必須記住的是,由許多單功能產品組成的傳統安全系統已證明不適合用來預防大量增加且複雜的網路攻擊。許多安全工具非常仰賴人工操作,無法以夠快的速度建立新防護,因此對於持續的針對性攻擊產生不了作用。為了降低網路風險,必須建立整合、自動化且有效的控制,以便能夠在攻擊生命週期的每一階段進行偵測和預防已知與未知威脅。
預測五:我們終將了解為何關鍵基礎設施如此具有其重要性
關鍵基礎設施(critical infrastructure; CI)不再只是一個描述公共基礎設施與資源的概括用詞,其定義已演變至涵蓋其他關鍵產業例如銀行和金融服務、電信與媒體。隨著CI邁向數位與自動化,企業與工業網路的交叉作用,已使得它們更容易成為網路犯罪者的目標。這對於諸如SCADA監控系統與工業控制系統(ICS)而言特別具有危險性,因為這些是能源、水和公共運輸領域的關鍵,但卻往往仰賴傳統而無法修復的系統。
英國國家網路安全中心已警告英國無可避免的將發生網路攻擊,潛在風險目標為選舉和CI。全球經濟論壇(World Economic Forum)的2018全球風險報告也呼應這個觀點,指出網路攻擊是造成全球性崩解的最大原因,風險程度僅次於天然災害和極端氣候。亞洲該如何在2019年做好準備?
忠告
迄今,基礎設施所有者的焦點主要放在資訊機密性,而忽略資訊安全的其他二個原則:完整與可用性。這對於採納industry 4.0技術(例如自駕車的機器學習)的國家特別關鍵。這些創新將仰賴遙測和always-on連接性,把大眾生命交給仰賴資料精確與可用性的系統。不論公有或民營CI所有者,都將必須建置Zero Trust系統並確保隔離的存取。
資料法規遵循觀點也將需要改變。CI所有者必須從以法規遵循為本的安全性,轉移到一種以安全性本身為焦點的態度。立法者和所有者可以合作規範一個適用雙方的框架,同時培育一種「安全第一」的方法去設計和維護所有CI。不能只想便宜行事,要從一開始就確保安全。
媒體聯繫:
Libby Chang
Palo Alto Networks
亞太區企業傳播經理
電話: +65 6813 2957
E-mail: libbychang@paloaltonetworks.com
新聞稿代發機構:
采杰公關顧問股份有限公司
聯絡人:周允中 / 黃雅琳
電話:(02)2366-1899 分機136/132
E-mail: thomas_chou@accesspr.com.tw / molly_huang@accesspr.com.tw