金融科技近年發展迅速,大數據、雲計算、區塊鏈、人工智能及生物認證等,都已在不少行業發展出成功實施的案例。網絡攻擊和防禦的技術發展和競賽,也是愈來愈快和激烈。踏入二○二○年,網絡安全主管也在忙於分析網絡攻擊技術的發展趨勢,整合及制訂來年防禦策略。多間網絡安全服務供應商及技術顧問,都為今年網絡安全發展趨勢作出分析和預計。
據Verizon公司發布的《2019年資料洩露調查報告》,在一九年近三分之一的資料洩露涉及網絡釣魚;其中,網絡犯罪分子的攻擊數字升78%。網絡攻擊者主要通過被洩露了的企業內部或合作夥伴帳戶,發送看起來合法但其實是欺詐性的訊息,作為釣魚嘗試,誘使受害員工提供公司的敏感資料,或引入惡意軟件。因此,二○年的首要任務,是提高安全意識和員工培訓的優先權。
另據卡巴斯基公司的《2019年IT安全經濟學》報告,一九年約40%企業經歷過勒索軟件攻擊事件;平均損失146萬美元。防範勒索軟件的最佳方法,是對所有關鍵資料進行備份,並把備份儲存到與企業網絡隔離的地方,減低一旦受到勒索軟件攻擊時,連備份也被加密「綁架」的風險。除此之外,企業需要實施如「應用程式白名單等額外的保護措施,加強備份的安全保護。
該公司去年發布《IT安全經濟學》表示,一九年有42%大企業和38%中小型企業,遭「分散式拒絕服務(DDoS)」攻擊。由於5G興起和物聯網設備數量增加,相信DDoS攻擊仍將會大增。IDG預測5G及其相關的網絡基礎設施市場,將從一八年的5.28億美元,增至二二年的260億美元。5G的轉變將催生全新的營運模式和架構,當然會催生新漏洞;加上未來會愈來愈多的5G物聯網設備,直接連接至5G網絡,亦會增加設備更易遭網絡攻擊的機會。
面對此等安全威脅,網絡區間需加強規劃及細分,並加強存取控制和網絡安全監控,特別是網絡遠端存取,在對手攻擊或關閉其設施之前,快速檢測和緩解物聯網攻擊。
近年來人們期待已久的人工智能(AI)技術商用,逐漸成為現實,並應用在許多商業領域中。有分析指,網絡攻擊者已開始通過人工智能技術來進行犯罪活動。由人工智能技術驅動的自動化系統,可以探測網絡和系統,從中找到未被發現的漏洞,再加以利用。當然,另一方面人工智能技術,也能用在網絡安全防禦上。不只是攻擊者使用人工智能系統來探測漏洞,防禦者也在使用人工智能技術進一步強化安全環境。許多威脅識別系統已經在使用機器學習技術,來識別新的威脅。將來網絡安全將很可能成為人工智能較量的一個主要平台之一。
隨着網絡攻擊的技術和手法不斷提升和變化,多個國家或其監管機構都推出或加強網絡安全相關條例和指引,對企業就網絡安全管控有更高的要求。對企業而言,特別是銀行、投資、保險及金融機構等涉及眾多資金的公司,提前認清這些威脅並做好防禦準備,才能更有效地把風險管理做好,並降低相關損失。
香港電腦學會理事會成員及網絡安全專家小組召集人
作者:胡志偉