趨勢科技預測：2020年雲端與供應鏈風險加劇

網絡資訊保安方案領導廠商趨勢科技今天發布2020年資訊保安預測報告，指出企業日後將面臨持續增加的雲端與供應鏈風險。雲端及開發營運 (DevOps) 環境的日漸風行，一方面將持續為商業帶來靈活性，另一方面卻也令企業和製造業暴露在第三方風險中。

趨勢科技香港及澳門區顧問總監李浩然表示：「隨著我們邁入新的年代，各行各業的企業機構無論規模大小皆越來越依賴第三方軟件、開源碼以及現代化營運模式來推動數碼創新以取得企業預期的成長。趨勢科技專家預測，這種急速的成長與轉變將引來全新的供應鏈攻擊風險。從雲端到家用網絡，資訊科技保安主管在 2020 年必須重新評估其網絡保安風險與策略。」

黑客正慢慢轉移目標並開始瞄準儲存在雲端的企業資料，利用程式碼注入手法來發動攻擊，如反序列化（Deserialization）漏洞、跨網站腳本攻擊（Cross-Site Scripting）以及 SQL 資料隱碼攻擊（SQL Injection）。他們將透過直接攻擊雲端服務商或侵入第三方廠商程式庫的方式來達致目的。

事實上，導入 DevOps 文化的企業已越來越依賴第三方開發的程式碼，而此舉將增加企業在 2020 年及未來的資訊保安風險。而無伺服器（Serverless）和微服務（Microservice）架構所採用的容器元件和程式庫一旦遭到黑客入侵，將進一步擴大企業的受攻擊面，在此情況下，傳統資訊保安方法完全跟不上這些轉變。

2020 年，託管服務供應商也將成為黑客入侵企業的跳板。黑客的目標並不只局限於竊取珍貴的企業資料與客戶資訊，更包括安裝惡意程式來干擾智能工廠運作，以及利用勒索程式來勒索企業。

除此之外，新的一年還會出現一些相對較新的供應鏈風險，例如：遙距工作人員因透過不安全的 Wi-Fi 連線而為企業網絡帶來威脅。而連網家用裝置的漏洞，也可能成為黑客入侵企業網絡的缺口。

面對瞬息萬變的威脅情勢，趨勢科技提出以下建議供企業參考：

• 提升對雲端及託管服務供應商的資訊保安要求。
• 定期執行第三方漏洞及風險的評估。
• 採用資訊保安工具來掃瞄第三方元件中的漏洞和惡意程式。
• 考慮採用雲端資訊保安狀況管理（CSPM）工具來協助降低配置不當的風險。
• 重新檢討在家工作及遙距工作者的資訊保安政策。

參考「資訊保安新常態：趨勢科技 2020 年資訊保安預測」（The New Norm: Trend Micro Security Predictions for 2020） 報告，請至：https://www.trendmicro.com/vinfo/hk/security/research-and-analysis/predictions/2020