第一線DYXnet專家拆解數據外洩事故成因 SASE保護敏感資料存取 AI驅動SOC防禦多重勒索
新一波數據外洩事故,涉及消防局、公司註冊處、機電署、市建局等多個公營機構,牽連逾 13 萬市民的敏感資料,同期亦有上市公司疑遭入侵數據庫,客戶資料被放到暗網發售。多宗事故反映香港的公私營機構均存在資訊保安漏洞,當中有甚麼值得企業引以為鑑?我們邀請了DYXnet 第一線的網絡安全專家鍾而政(Louis)教路,拆解如何利用近年廣受企業採用的安全存取服務(SASE) 降低數據外洩風險,並透過資訊安全監控中心(SOC)託管服務的 AI 技術及時獲得警報及響應,將事故防患於未然!
SASE 遠端資料存取 保護敏感資料免受黑客入侵
儘管近期數據外洩事故情節各有不同,但均凸顯敏感資料存取權限和及早響應未知安全威脅的重要性。其實早在疫情期間,業界已警惕到「在家工作」模式存在著巨大的安全風險,Louis 表示:「員工在辦公室以外的地方、利用不同的個人裝置進入公司網絡存取資料,假如企業未有啟用多重認證功能,並且沒有檢查終端狀態及行為,分散式的遠端連接網絡會令攻擊點大增,在地部署的堡壘式安全防禦不足以應付來自四方八面的安全需求。」Louis進一步指出,消委會的事故便是如此,根據私隱專員公署最近出爐的調查報告,黑客首先取得消委會一個有管理員權限的帳戶憑證,再透過 VPN 進入消委會的網絡,以勒索軟件攻擊伺服器。
Gartner 於 2019 年提出 SASE 的概念,其零信任(Zero Trust)機制在疫情期間受到企業青睞,Louis 解釋:「SASE 透過嚴格的身分驗證及授權機制來保護數碼資產,當中的零信任網路存取(ZTNA)功能可根據用戶身分控制可訪問權限,並要求驗證和授權每一個訪問,這跟傳統 SSL VPN 單一的權限管理不同,它可因應客戶需求作出權限管理,在不同的數據上都可做到加密認證及使用量監測,完善內部控制。」針對分散式網絡複雜的架構,新一代的網絡安全方案更以減低網絡架構複雜性為目標,結合多個進階的網絡和安全功能於一身,以第一線的 DYXnet SASE 為例,在 ZTNA 以外,還包含軟件定義廣域網路(SD-WAN)、防火牆即服務 (FWaaS)、雲端存取資安代理 (CASB)及網頁安全網關 (SWG),有效從網絡存取、雲端存取及互聯網流量過濾勒索軟件、網絡釣魚及數據盜取等攻擊。
黑客的多重勒索 第一線 SOC 全天候防禦
Louis 強調,數據外洩與勒索軟件的加乘效果對企業構成極大的威脅,黑客甚至會進行多重的勒索,「勒索軟件一旦感染電腦系統後,黑客可以加密受害企業的文件、盜取敏感資料後要脅公開,甚至向受害企業的客戶及生意夥伴進行多重勒索。」Louis 指勒索軟件攻擊事故近年急增,跟生成式 AI 不無關係,犯罪成本降低,導致零日攻擊(Zero-day)出現得更快更頻密,它們一旦潛伏在網絡系統就難以被辨別出來。Louis 表示,對於零日攻擊此等未知威脅,第一線的 SOC 運用 AI 技術主動偵測威脅,「例如新一代的端點偵測及響應(EDR)技術,採用機器學習來執行行為分析,偵查出網絡異常行為並加以阻擋。」他補充,AI 技術大幅縮減響應時間,高準繩度亦能減少誤報。
此外,Louis 還特別提到消委會事故中一個經常被企業忽視的問題:人員離職致使的知識流失(knowledge loss)—— 其實消委會的系統早已偵測到網絡安全威脅,但卻沒有發出警報!調查發現,原本負責網絡安全的員工離職後,偵測及攔截威脅的警報設定並沒有啟動。Louis 強調,資訊安全是一個持續恆常的循環作業,人員流失可導致防護失效,即使新員工上任,亦未必能立即掌握整個網絡架構的弱點。針對知識流失出現的保安斷層,第一線的網絡安全託管服務由專業 SOC 團隊把關,助客戶管理各種安全工具,7/24 持續監測,遇事故即迅速反應,將數據外洩及惡意攻擊的影響減至最低。
黑客不但瞄準大企業,近年也向保安脆弱的中小企埋手,Louis 建議:「若企業沒有 headcount 聘請網絡保安專才,第一線的 SOC 託管服務正好填補此缺口。」
來源:WePro180
