Palo Alto Networks 分享 2019 年 5 大網絡安全預測

世界進入數碼化時代，無論是消費者、零售商、供應鏈、企業甚至基建擁有者都越發依賴網絡。因此，網絡安全成為近年重要的話題。網絡安全公司 Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca 透露 2019 年 5 大網絡安全預測，從釣魚郵件、供應鏈、訂立法例進度、雲端以及關鍵的基礎設施，講到當中的威脅和數據安全提示。

電郵惡意附件問題仍然嚴重　企業成頭號目標

釣魚郵件一直是常見竊取登入帳號和密碼的途徑，在 2019 年問題依然存在，包括企業市場。據統計指過去 5 年因為有問題的商務電郵，全球共損失 120 億美元。駭客和有心人會更積極偽裝成合作夥伴或內部持分者，甚至偽裝企業的個人網頁和社交帳號進行攻擊，手法越見多元和精密。

因此，Sean Duca 展望在 2019 年除了密碼之外，雙重、多重認證和生物認證也會越來越常用，企業也需要評估內部資訊流程防止偽裝者來襲。

供應鏈成網絡安全新弱點

透過數據庫網絡共享，企業和供應商之間的連繫將會更緊密，令供應鏈運作更有效率，但是，攻擊者或會透過當中的安全漏洞進行攻擊。Sean Duca 特別提到醫療界缺乏監控那些每天接連網絡的第三方醫療器材，令漏洞完全暴露在黑客手中，稍一不慎，會擾亂醫療數據甚至威脅病人安危。在這情況下，Sean Duca 建議企業需要監察網絡，避免敏感資料在無授權的外來裝置和系統暴露，企業購入裝置時應定下內部安全標準、儘可能更新最新版本韌體和應用程式、以及管理接入裝置的權限。

跟隨歐盟　亞太區陸續立法保護數據

歐盟在 2018 年已實施「一般資料保護規範 (General Data Pretection Regulation, GDPR)」法例，嚴格控制在歐洲開展業務的企業保護數據。Sean Duca 表示在 2019 年開始，亞太區國家也會跟隨歐盟的步伐，訂立相關法例令企業能保護用戶數據，當中澳洲和新加坡已經率先制訂相關法例和執行，他相信香港也會進行立法，保護數據安全。

雲端服務安全 2019 年「烏雲蓋頂」

迎接數碼年代，企業為了控制成本會採用甚至依賴雲端服務，當企業使用雲端服務的時候代表有檔案會儲存到第三方，除了供應商需要為檔案安全負責之外，企業的檔案和授權管理也是十分重要，但不少企業在進行創新的時候卻忽略安全原則。Sean Duca 建議企業需要妥善管理工作流程、科技和最重要的人材，建立有效的自動管制措施，即使受到網絡攻擊，也能在不同階段偵測、預防甚至杜絕已知或未知的威脅。

另外 Sean Duca 建議企業也可採用一種名為「DevOps」流程，讓軟件開發和 IT 技術維護溝通合作，令系統開發流程更有效率，減少網絡風險。

關鍵基礎設施數碼化和自動化成攻擊目標

在數碼年代，關鍵基礎設施開始涵蓋基建和資源以外的行業，例如金融基建、發射站等等，並實施數碼化和自動化，顯而易見，其監控及數據收集系統 (SCADA) 和工業控制系統 (ICS)很容易成為駭客的攻擊目標，最終影響能源和水源供應，以及擾亂交通工具運作。Sean Duca 提到《世界經濟論壇環境風險報告 2018》認定網絡攻擊為全球主要危機之一，他預料 2019 年的亞洲區的關鍵基礎設施也會遇到同類問題。

不少國家採用自動化和機械學習等等工業 4.0 技術，因此基建擁有者不只要著重保密，也需要著重完整和可用程度，在這情況之下遙距測量和是否隨時可取越發重要。Sean Duca 建議建造關鍵基礎設施時應以安全為重，不只單單觀察合法與否，理應建立共同規管框架去設計和維護基建，實施零信任系統確保資料完全隔離。

資料來源：Palo Alto Networks