从持续恶化的网络攻击局势,到即将制定的网络安全法规,新一年度的网络安全局势变化,是企业持续在关注的焦点。近期,网络安全企业Palo Alto Networks,提出了2019年网络安全趋势预测,同时他们的亚太区网络安全主管Kevin O’Leary,说明了这些威胁的发展与演变。
对于企业而言,2019年值得关注的安全议题有哪些?今年Palo Alto Networks举出了五大重点,包括:商业电子邮件诈骗(BEC诈骗)的威胁、供应链的攻击,此外还有数据保护立法的发展,更为普及的多云应用让安全性变得复杂,以及关键基础设施的重要性,都是值得关注的方面。 Kevin O’Leary强调,在这些网络攻击其中,有一部分已经成为事实,有些是正在发生或可能发生,他们通过这次的年度预测,借此找出未来必须防范的环节。
近年电子邮件的安全问题,备受各方关注,尤其是危害全球企业极大的BEC诈骗
以Palo Alto Networks的五大预测面向中,最受注目的就是,全球企业不断蒙受商务电子邮件诈骗之害,而FBI在这五年来已经不断警告,他们统计到的损失就已经超过120亿美元。 Palo Alto指出,企业环境的用户帐密与登录数据窃盗事件,以及伪装成企业伙伴或内部人员,要求更改汇款银行帐号的案例,变得越来越多,不仅如此,从伪造公司网站,到瞄准员工社交媒体帐号的手法来看,攻击者使用的手法也越来越多样化,并且狡猾。企业能否在2019年由于这些威胁,就是焦点。
对此,Palo Alto建议,企业应审视内部信息流程,特别是在检查与核准方面。同时他们也在关注身份识别的安全问题,并预测双因素认证、与生物验证将在2019年开始普及。
值得注意的是,以往这样的威胁大多是邮件安全厂商在关注,今年Palo Alto竟也列为五大预测中的第一重点,这也突显了近期的电子邮件安全问题,备受各方关注。
其实,在去年12月底,Palo Alto Networks旗下网络威胁情报研究团队Unit 42,曾经公布3项2019的网络威胁趋势,其中就有两项与电子邮件安全相关,一是提到商业电子邮件诈骗的增加,另一是更多电子邮件攻击使用恶意的宏程序代码。
对于黑客利用电子邮件发动的各式威胁,Kevin O’Leary在现场也提出一个观点,因为有些公司会将员工当成风险看待,他认为这样的观念必须扭转,应该要将员工当成受害者,企业要去保护。
此外,BEC诈骗危害也不少,近年我们不时看到刑事警察局公布电子邮件诈骗案,持续提醒国内贸易公司,要注意这样的网络攻击手法。
注意供应链的攻击,以及数据保护立法的态势
关于供应链攻击的态势,将成企业防护上的新缺口,成为第二个企业该注意的面向。在全球数字化的今日,企业不论是寻找供应商和委外服务,或是在信息链接上,都获得很大的便利性,但安全问题也不容忽视。根据Palo Alto的说明,这将让投机型攻击者有机可乘,而这样的风险在医疗领域已经变得更加明显。他们也举例说明,像是第三方厂商链接的医学设备,如MRI、X光机,由于每天都会接在内部网络,这也就增加了攻击面与漏洞问题,让医院无法掌控。
由于有许多不安全的设备,链接到企业网络,尽管企业可能无法避免这样的情形,不过Palo Alto建议,企业可以在采购这些设备或服务时,注意相关安全标准,并要确保固件更新,且不要使用默认密码与弱密码。同时,也应仔细检查网络中的流量,确保敏感信息与外部隔离。
对于锁定供应链的攻击方式,Kevin O’Leary表示,这种攻击黑入的不是企业本身,而是从企业承包商下手,进而伤害到企业,这在2018年已经有不少案例,因此,他认为2019年会继续看到这样的网络攻击发生。
同时,Kevin O’Leary指出,制造业在全球供应链中其实扮演者重要的角色,因此这样的问题更是息息相关。他也举例,像是企业使用ERP来管理供应链,而现在有许多外包的情况,第三方伙伴也需要纳入一并管理。
另一个企业要关注的是,是在网络安全相关的法规层面。随着全球各国都开始警觉到,国家安全与用户数据保护的迫切性,个人信息保护立法在亚太地区也日渐成熟,开始通过立法的方式,去强制要求企业保护他们客户的数据,而且有些国家会要求数据的主权性,就是要求数据需存放在国境之内保存。
要注意的是,这对于跨国公司则将有很大的跳战。由于各国在个人信息保护法的进度不一,虽然法律规范有相似之处,但仍有差异,因此,与全球接轨的企业必须要知道,各地的个人信息保护法有什么不同。
关于多云应用的安全性议题,以及关键基础设施的防护,也不可忽视
第四个面向是在云计算应用方面,随着云计算已成为企业提供新产品与服务的弹性资源,Palo Alto认为,多云应用将在2019年更为普遍,而相应的挑战也将随之而来。
由于云计算安全性并不只是云服务供应商的责任,使用的企业也将有其权利与责任,这也使得安全性问题变得更加复杂,对此,Kevin O’Leary表示,希望能找到一个公用的方法,让企业不论是在AWS、Azure等不同平台上,都能获得同样的保护,而云计算网络安全厂商与企业本身,也也要能找出一个可共享的模式,来解决这样的问题。
此外,还有像有一些面向值得注意,例如,随着DevOps协助加速开发的潮流,在安全性的创建与维护上,也可能面对挑战,同时他们也提醒,传统单功能的网络安全产品,已经不足以面对大量增加且复杂的网络攻击,如要降低网络风险,必须创建集成、自动化且有效的控制,以便能够在攻击生命周期的每一阶段,进行侦测和预防已知与未知威胁。关于这一部分,也是Palo Alto不断在努力的目标。
去年12月,Palo Alto Network威胁情报团队Unit 42,也曾发布云安全趋势的五大关键,其中提到:账户入侵的规模与速度上升、挖矿劫持逐渐降温、关于组态设置风险需持续注意、漏洞管理的必要性,以及应为容器模式提供保护。
此外,在这项预测中,关键基础设施的重要性也是Palo Alto所强调的部分。事实上,我们在多家网络安全企业发布的2019威胁预测中,都有提到这一点。
从关键基础设施的涵盖范围来看,在能源、水、公共运输领域之外,也波及到金融服务、电信与媒体。一旦这些设施受到影响,后果都相当严重,风险程度仅次于天然灾害和极端气候。
但是,随着关键基础设施迈向数字转型,以及自动化的浪潮,设备间彼此相连,并连上了互联网,将更容易成为网络犯罪者的目标。对此,Kevin O’Leary表示,这并非说数字转型不好,因为这其实对真实世界有很大的好处,只是在转型的过程中,也应做好防护。对此,Palo Alto也提供了一些建议,例如,必须构建Zero Trust系统,并确保隔离的访问,同时提醒,对于关键基础设施的设计与维护,必须从安全第一为考量,而不要只以法规遵循为本而行事。
最后,在企业面对以上种种挑战之外,Kevin O’Leary要强调与提醒的是,对于人、流程、与科技这三大要素,都要能够一视同仁的去重视。他解释,要让科技确实发挥作用,必须要有人去确保,以及好的流程配合,在发生问题时,也要有措施能应对。