大環境要求 企業網絡安全測試火熱

由於大量企業推行在家工作，衍生許多網絡安全漏洞，必須不斷進行安全測試及風險評估，以便修復漏洞及滿足安全法規要求。上述情況令Handshake Networking Ltd安全測試服務需求大增。該公司總監及營運顧問Richard Stagg指出：「整個安全檢測週期頻密了，企業由一年兩次，到現在幾乎每兩月一次，成為長期持續性測試。」

18年安全測試經驗

Richard Stagg於2004年在香港創立Handshake Networking Ltd，主攻企業資訊安全諮詢服務，包括滲透測試和漏洞評估、資訊系統審計、諮詢、電腦取證和安全意識培訓等服務。該公司去年初獲美國上市公司Guardforce AI收購，藉此擴大專業風險評估服務市場。

Richard Stagg回想創業之時，「當年我們看好資訊安全市場的未來發展，如果我們也提供傳統安全服務，市場競爭太大。因此選擇當時仍沒有公司提供安全測試服務，作為創業的起點，並慢慢發展安全託管服務。」事實上，安全託管及測試服務是近年才廣泛興起，而Handshake早已部署多年，至今擁有18年經驗，曾為不少大企業提供各式各樣的滲透性安全測試，以便查找漏洞及完善其安全措施。

自動工具不能代替專家

為何Handshake成功？他表示：「黑客不是用傳統方式入侵，要知己知彼，就要明白黑客用甚麼攻擊工具，以及用甚麼手法發動攻擊。這要求監視暗網 (Dark Web) 及地下市場，能能進入黑客論壇、分析，要懂不同的黑客語言。同時，我們要了解客戶的企業系統、業務流程、企業文化，如何應對各式各樣的威脅攻擊。之後模擬黑客攻擊方法，進行測試及安全檢查。」

不過，Richard Stagg認為最重要是獲取客戶信任。他解釋：「駭入技術不是重點，風險評估才是。自動化安全工具只找到弱點，但找不到其他問題，所以要專家進行風險評估。」Handshake會從管理層角度去編寫報告，並要有相關的財務審核。他強調：「整個過程我們會接觸到客戶資料及秘密，因此沒有互相信任是不可能的。」

零信任方案配合緊密測試

因疫情嚴重，網絡託管市場也大幅增加，Handshake也有許多新客戶。他認為現在許多企業推行在家工作，這令安全問題變得越來越複雜。安全行業不斷轉變，私有雲、雲端即服務 (SaaS)、在家工作、不同裝置、不同地點，甚至出現辦公室即服務 (Office as a Service)，亦要達到DevSecOps要求。這些需要零信任保護方案，每一個接觸點都要驗證，要採用新法方認證身份，不能單靠密碼。還要配合定期的安全測試服務，以確保及早發現安全漏洞。

Handshake現時協助30多個客戶管理網絡安全，有著名酒店、銀行，均是擁有大量客戶的信用卡資料，非常敏感。Handshake是提供支付卡行業資料 (PCI) 掃描服務供應商之一，能滿足各式各樣金融及支付業務的嚴格要求。他說：「我們必須保持專業獨立性，要守密，也不會偏重某一家安全技術供應商。」