News

星島日報 - IT 廣場 「漏洞風險管理抬頭」

  • « back

    漏洞風險管理抬頭


    上周假香港會議展覽中心舉行的資訊保安論壇CLOUDSEC 2017,邀得多位來自全球各地的業界專家,針對漏洞風險管理的Tenable Networks亦在其中。

    Tenable Networks高級市場推廣總監Robert Healey笑稱,早年很難說服企業投放資源在漏洞風險管理之上,許多企業認為部署了入侵偵測等方案,加上防火牆便已足夠。

    「不過在WannaCry勒索軟件肆虐之後,感謝各大媒體報道,有關保安事故幾乎天天見報。是以突然多出許多查詢,企業亦十分樂意了解漏洞風險管理這一環如何運作。」


    軍事級網絡保安技術


    Healey闡釋,所謂漏洞風險管理,其實是指妥善處理面對網絡攻擊時的弱點,尤其是企業網絡的受攻擊面(Attack surface)。

    「網絡犯罪是一門大生意,甚至有外媒指出,網絡犯罪較毒品交易更能賺錢。過去,不少國家認為言語不通,就能獨善其身。然而當本田汽車也遭受攻擊,日本也無法再置身事外,必須關注漏洞保安風險。然而保安並非關乎花了多少錢、購置了多少工具,而是如何降低風險。」Healey續指,Tenable Networks早年名不經傳,主要為美國政府機構提供軍事級網絡保安設備。如今則進一步將軍事級保安技術,推向商業機構層面,致力讓他們了解並降低網絡保安風險。

    Healey認為,企業必須了解網絡有哪些接入點暴露在外、有哪些弱點,繼而進行針對性管理。須知漏洞可以是軟件缺憾所引致,包括作業系統、應用程式、數據庫、JavaScript等等,而這些漏洞往往可被黑客利用,進入企業網絡繼而取得系統控制權。Healey又強調,大部分入侵行為都屬非直接性的攻擊,反而會透過連接企業網絡的設備,如打印系統、空調系統,甚至零食及飲品販賣機等,因此機構的保安必須遍保整個網絡,而非僅限於電腦和伺服器相關系統。Healey並強列建議企業採用具備業界標準的保安工具,因為就連黑客都已採用了業界標準。