近年最受大眾所注視的Ransomware事件,要數2017年的Wannacry,當時不論是大型企業或是每年投放大量資源於資訊保安的銀行、政府機構也不能倖免。
過去幾年,看似沒有關於Ransomware嚴重保安事故的新聞報導,但是Ransomware的威脅不單沒有減低,越來越多的企業正受到更多模化的形式、更難透過防火牆或防毒軟件防禦的攻擊。根據資安公司Fortinet的一份文章報導,在2021年全球就有超過三份之二的企業受過Ransomware的攻擊。而另一資安公司Sonicwall應就全球Ransmeware的數目作出統計,發展趨勢仍然高企不下。
現在的黑客攻擊手法,以由以前大規模攻擊多個目標企業或使用者,轉變為更針對性的攻擊。黑客的最終目標是勒索金錢,也鮮有像Wannacry那樣作出全球同日大規模攻擊的手法。
Ransomware的攻擊日新月異,單透過投放資源於加置防火牆或終端防護方案絕非就能安枕無憂,反過來更因為令企業太依賴個別一兩個資安方案,反而抱有輕敵之心,甚至忽略了基礎防護。
讀者可能會問:「加置防火牆或終端防護方案也無法防範Ransomware的話,那企業還有甚麼措施可以有效防止Ransomware的攻擊?」
要做好資訊保安,其實說易不易,說難不難。但最有效的資訊保安,一定就是由最基礎的防護做起。
如果我們回顧Ransmeware的攻擊模式,會發現一切的攻擊起手都是利用於使用者的資安意識和系統漏洞。
要有效提升使用者的資安意識和堵塞系統漏洞,企業就要確切執行資安的政策。企業要維持有效的資安政策,並且嚴格遵照執行,在基本面上減低使用者因資安知識不足而被黑客利用,也能減低系統在管理上和執行更新週期出現的漏洞而讓黑客有可乘之機。
資訊科技審計正正就是幫助企業在執行資安政策是否有效實施作一個獨立及可靠的評估。透過實地了解企業在資訊訊科技環境、使用者權限審核、系統更新週期檢視、相關軟件的生命週期回顧、網絡風險評估、事故反應流程等等的審查,幫助企業對於資安風險管理有更具體和客觀的數據和資訊。企業可就審計報告的建議,針對現存弱點作精準的整改,就能更有效的加強企業本身的資安能力。
在成本方面,根據我們經驗所得,透過審計報告的精準整改的人力和預算資源的投y放,比起盲目添購防護方案來得更省時省力,而成效亦更顯注。這亦是筆者為何在過往很多的客戶案例中,強烈建議客戶莫要太依賴單一資訊保安的方案而忽略了最基礎的使用政策。
比如說企業對使用者存取權限有嚴格的政策並且能恪守執行,一定比起部署使用者行為分析方案來得更有效,也更少資源。又例如教育企業員工對釣魚電郵保持高度警覺性,有效性和從源頭堵截釣魚可能性也一定比起電郵掃描軟體來得主動。企業的資安
攻防戰已是無可避免,如何在這個網絡攻擊不斷推陳出新的世代作出更有效防衛,不單單是資安業者,而是各行業的企業在2024年的首要任務。
英文版刊於領英:
