漏洞風險管理抬頭

上周假香港會議展覽中心舉行的資訊保安論壇CLOUDSEC 2017，邀得多位來自全球各地的業界專家，針對漏洞風險管理的Tenable Networks亦在其中。

Tenable Networks高級市場推廣總監Robert Healey笑稱，早年很難說服企業投放資源在漏洞風險管理之上，許多企業認為部署了入侵偵測等方案，加上防火牆便已足夠。

「不過在WannaCry勒索軟件肆虐之後，感謝各大媒體報道，有關保安事故幾乎天天見報。是以突然多出許多查詢，企業亦十分樂意了解漏洞風險管理這一環如何運作。」

軍事級網絡保安技術

Healey闡釋，所謂漏洞風險管理，其實是指妥善處理面對網絡攻擊時的弱點，尤其是企業網絡的受攻擊面（Attack surface）。

「網絡犯罪是一門大生意，甚至有外媒指出，網絡犯罪較毒品交易更能賺錢。過去，不少國家認為言語不通，就能獨善其身。然而當本田汽車也遭受攻擊，日本也無法再置身事外，必須關注漏洞保安風險。然而保安並非關乎花了多少錢、購置了多少工具，而是如何降低風險。」Healey續指，Tenable Networks早年名不經傳，主要為美國政府機構提供軍事級網絡保安設備。如今則進一步將軍事級保安技術，推向商業機構層面，致力讓他們了解並降低網絡保安風險。

Healey認為，企業必須了解網絡有哪些接入點暴露在外、有哪些弱點，繼而進行針對性管理。須知漏洞可以是軟件缺憾所引致，包括作業系統、應用程式、數據庫、JavaScript等等，而這些漏洞往往可被黑客利用，進入企業網絡繼而取得系統控制權。Healey又強調，大部分入侵行為都屬非直接性的攻擊，反而會透過連接企業網絡的設備，如打印系統、空調系統，甚至零食及飲品販賣機等，因此機構的保安必須遍保整個網絡，而非僅限於電腦和伺服器相關系統。Healey並強列建議企業採用具備業界標準的保安工具，因為就連黑客都已採用了業界標準。