上回資訊科技整合商NTT講及最新的網絡安全形勢,認證竊取Credential Theft是目前其中一個最大的威脅,IT行業最高危的行業。 面對高危的網絡攻擊, NTT集團旗下,NTT Limited網絡安全副總裁 Mark Thomas認為企業上下責無旁貸,不會因企業IT架構而影響個別IT安全責任。他在此亦向企業提出意見,建議業界該如何及早防備網絡攻擊,提高整體安全意識!
不同IT架構亦要面對網絡攻擊
很多人都會認為企業使用公有雲(Public Cloud),就等於把網絡安全責任交給雲端供應商,Mark對此表示不認同,他說:「雖然雲端供應商要負責用戶的網絡安全,但不代表他們要兼負客戶網絡失竊的責任。事實上很多網絡事故不是透過直接攻擊雲端供應商而造成,大部分都是客戶疏忽而造成意外。」他續指,即使用使用公有雲亦應考慮加入一些網絡安全(Cybersecurity)產品如防火牆(Firewall)等。
另外Mark亦指出,多雲政策(Multi-Cloud)及混合雲(Hybrid Cloud)當今企業的大趨勢,除了一般的網絡攻擊(Cyberattack)外,雲端或私有雲的應用程式亦會有受入侵風險。IT管理人員管加強對App和虛擬機(Virtual Machine)管理上的網絡安全;Mark亦表示,較有規模的企業,通常會用上不下十間網絡保安供應商的服務,如何把這些網絡保安方案融合和管理也是企業痛點之一。倘若沒有做好網絡保安上的管理,或不清楚企業自身的需求,其實也費時失事。
企業宜先諮詢專業的保安公司或顧問,為企業評估需要才投放資源,否則只是藥石亂投。
懲罰機制有助提高企業警覺
被問及倘若受襲企業不知道自己已「中招」,他們該如何處理?Mark認為,企業對保障資料數據是有絕對的責任,不能已「不知道」為借口。他說:「各國政府對此同樣有責任,如歐洲設立GDPR法,提醒企業要盡力保護資料,否則會面臨巨額罰款。其實這是很好的政策,讓企業無時無刻都不會忘記網絡保安是首要責任。」
Mark特別指出,網絡保安是企業上下的責任,並不是IT專員所獨有。面對認證竊取,他提出了以下數點方法:
- 使用多重認證登入(Multi-factor authentication);
- 把IT網絡環境分割;
- IT環境裡,向員工分不同的權限(Privilege),如一般員工無法接觸IT管理工具;
- 常預備災難回復方案(Disaster Recovery);
- 教育員工安全意識,如防止他們胡亂下載或點擊不知名的電郵。
企業加強網絡保安意識,除了保護企業自身外,亦是對員工上下和客戶的責任,保護自己的聲譽。企業使用公有雲,其實都要加強網絡保安,你了解嗎?馬上點擊學習!
三大編輯精選
甚麼是SD-WAN? 首個Fortinet+CPC防火牆SD-WAN推出保護企業網絡!