強化「零信任」及身份認證 進一步保障數碼經濟安全

 |   Microsoft Hong Kong

強化「零信任」及身份認證 進一步保障數碼經濟安全

保障混合辦公及人為勒索軟體隱患為資訊安全總監的首要議題

香港,20211123 – 過去兩年受新冠疫情影響,遙距辦公愈見普及,全球超過八成企業(81%)已開始邁向混合辦公,而其中三成(31%)更已全面採用此工作模式。隨着混合辦公模式成為「新常態」, 網絡攻擊亦變得更為猛烈,電郵漏洞持續威脅企業的網絡安全,當中網絡釣魚(phishing)導致近七成數據外洩,而惡意電郵亦以超過25種方式出現。

根據Microsoft最新的調報告,資訊安全總監現時主要面對混合辦公安全,以及人為勒索軟體(human-operated ransomware)兩大威脅。

混合辦公安全

於疫情新常態下,各行各業紛紛實施遙距辦公,拓寬了網絡罪犯可利用的攻擊範圍,例如使用家用裝置作辦公用途。自新冠肺炎疫情爆發以來,家用及工作場所對遙距服務的需求急切上升,網絡安全風險大增。

接近七成的數據外洩均由網絡釣魚造成,網絡罪犯將惡意軟件偽裝作正常的軟件更新,攻擊毫無戒心的員工。此外,勒索軟體黑客更提供「勒索授權軟體」(ransomware as a service ,RaaS),使用夥伴網絡作出攻擊,令企業更難以判斷真正的攻擊來源。同時,網絡罪犯亦攻擊本地伺服器,企業因此需加速將基建搬遷至雲端系統,其較為全面的保護令罪犯難於攻擊。

企業必需集中加強自身的基本網絡安全系統,包括漏洞防護、更新應用程式,以及使用多重要素驗證(multifactor authentication, MFA) ,以減低可能遭受的影響。然而,少於兩成的Microsoft 客戶使用多重要素驗證等較強的防護系統。企業若未有採取或維持基本網絡安全系統,將面對更大的威脅。

人為操縱勒索軟體

人為操縱勒索軟件成為網絡攻擊的新趨勢,威脅各行各業的運作。與商品勒索軟件(commodity ransomware) 不同,此類攻擊目標主要為一個組織,而非單一裝置,黑客更會藉著自身對系統的認知及錯誤設定,滲透整個組織,並探索整個企業的網絡,以適應環境及了解各種弱點。

人為操縱勒索軟體攻擊通常包括認證竊取(credential theft)、橫向移動(lateral movement),黑客可利用勒索軟件於被攻擊的企業系統中選擇集中進擊,對商業機構構成嚴重後果。

此類攻擊可對企業營運構成災難性後果,亦難以清除,企業需擁有完善周長的計劃以防止進一步的網絡攻擊。人為操縱勒索軟體與商品勒索軟件不同,後者只需去除惡意軟件,而人為操縱勒索軟體則在首次出現後,持續威脅企業運作。

網絡安全工作基礎:零信任架構的新階段

混合辦公模式下,雲端服務、流動計算、物聯網和自攜設備(BYOD)成爲大趨勢,改變了當今企業的技術格局。

員工今時今日需要使用公司網絡以外的應用程序和資源,因此,透過網絡防火牆和虛擬專用網絡 (VPNs)以隔離和限制對企業技術資源及服務,已不能全面保護企業。於「新常態」下,混合辦公令員工使用互聯網而非公司網絡,加上安全威脅的不斷演變,Microsoft 採用零信任安全架構以保障大小企業的安全。

零信任已成爲全球企業網絡安全防護勢在必行的策略,此策略亦將不斷轉變。展望未來,零信任安全架構的重點將由防護單個支柱,轉向通過正確的政策和管控實現跨支柱防護,確保防護的一致性和整體性。例如,身份和網絡存取控制之融合,允許網絡安全團隊採用深入及一致性的策略,控制所有用戶對資源的使用。零信任安全架構將協助網絡安全團隊自動執行企業數據資產防護,實現更高安全性。

身份保護:邁向「無密碼」

Microsoft 的Azure Active Directory x每日觀察到 5,000萬次的密碼攻擊,但只有兩成的用戶和 三成的全球管理人員使用增強式驗證,如多重要素驗證(MFA)。

雖然封鎖舊版驗證(blocking legacy authentication)及多重要素驗證仍是企業最重要的防禦措施,但防止網路釣魚亦比以往變得更為重要。即使執行了多重要素驗證,用戶的個人資料仍會受到即時中間人釣魚工具攻擊而有被外洩的威脅,因該工具能複製用戶的登錄界面並假冒多重驗證提示以收集發送給用戶的一次性密碼。

於身份認證而言,顯性認證(verify explicitly)確保賬戶在存取資料時進行增强式驗證。Microsoft調查報告亦指出,大部分網絡安全攻擊均與用戶密碼破解有關,而採用多重要素驗證的帳戶被駭的可能性大幅下降99.9%。雖然增強密碼安全性能幫助抵禦黑客攻擊,但採用無密碼方式能夠為賬戶身份認證提供最有效、最安全的體驗。

1國際電腦稽核協會中國香港分會副會長(認證統籌)兼任秘書朱偉年博士(及 Microsoft 香港區域科技長許遵發先生(右)分享各行業的資訊安全總監於來年應對網絡安全的重點要項與本地培育網絡安全人才的發展。

###

關於Microsoft

Microsoft (Nasdaq “MSFT” @microsoft) 是「流動為先、雲端為先」的世界中,領先的平台及生產力企業,其使命是幫助全球每個人及企業成就更多、實現更多。