每年 12 月,我們都會看到新的資訊安全預測和趨勢。不過,資安並不會在一年間發生巨大變化。在過去幾年,企業和個人用戶面對的威脅其實非常相似,例如網絡釣魚等詐騙手法,可能只是多了一些新的誘餌。
即使每年都會出現「新」的預測,但我們仍然要面對長期存在的問題。所以,比起預測新一年的潛在問題,我更希望探討三個行業裡尚待解決的根本問題,助業界剖析網絡安全風險,包括:人才短缺、漏洞管理以及技術供應商須提供更安全的技術。只有在適當應對這些根本問題後,企業才可抵禦更進階和日新月異的安全威脅。
一:回應人才短缺
網路資安是一個不平等的環境,黑客擁有數之不盡的方法去威脅或傷害企業。而作為防禦者,企業必須作出正確的決定以化解危機。任何行業都需要一個出色的團隊,但很多企業都正在面對網路資安人才短缺的問題。
人才短缺可能是我們行業面臨的最大問題,擁有合適的人才是我們工作根基。根據《2022年度本港資訊科技界薪酬指南》,香港在未來5年仍需要約十萬名資訊科技人才。投資培訓計劃和培養員工的可轉移技能,對於吸引和保留網絡資安專才非常重要。同時,我們要減少對人力的依賴,例如:通過自動化網絡防禦來降低整體漏洞。
需要招聘網絡資安人才的企業可以考慮將有興趣的員工從其他崗位 (如風控、IT、數據分析或工程研發角色) 調配至資安職位,讓他們在現有角色的基礎上接受針對性的網絡資安培訓。政府和教育機構應將網絡資安投資視為一項長期策略重點,這對我們提升數碼化未來的安全和穩定性十分重要。
二:強化漏洞管理
很多企業難以有效地管理他們的安全漏洞。首先,企業可以透過資產庫存管理系統了解它們所應用的技術,並及時發現和修復這些系統中的錯誤配置和其他安全漏洞。資產庫存和漏洞管理等 IT 管理流程可謂知易行難,我們往往都會被這些基礎問題困擾,因為黑客經常針對這些漏洞進行攻擊。
圍繞資產庫存的議題必須從 IT 管理系統擴展到任何有關企業網絡的事情,以及企業所使用的第三方雲端服務。此外,企業應該集中改善應變速度和處理順序,因為我們通常需要數週甚至數月的時間來修補漏洞,而黑客卻會在發現漏洞後的數小時或數天內進行針對性的網絡攻擊。所以,企業必須無時無刻都清楚了解自己正在使用的技術,並在短短數小時內找到並修補其漏洞。雖然這已經遠超現時的行業標準,但企業必須盡力達到這個水平,才能抵禦現今的網絡威脅。
三:提升安全技術應用
許多漏洞的核心源於設計過程中忽略了安全性的考量,並採用不完善的設計及開發程序。隨著各行業加速數碼化轉型及陸續開發智能產品,技術開發商的數量急速上升,令這個問題變得更嚴重。
技術供應商必須著手開發更安全、更有彈性的技術,並在設計時預測黑客入侵的各種可能性。全面的安全性考量可以從根本防止漏洞出現,就算出現漏洞,也可以降低其引致的後果和損失。此外,透過採用端到端更安全的技術,企業無須應用多種安全管理工具,從而減少對相關網絡專才的依賴。
安全預測並非毫無用處,但比起尚未出現的問題,我們更應該著眼於解決這些一直威脅著我們的長期問題。只有解決以上三個基礎安全問題,企業才能更有效抵禦網絡安全的威脅,充分發揮企業數碼化的潛力。
(作者為 Dell Technologies 香港及澳門區總經理鄺家麒,題為編輯擬定)
【相關文章】
【相關文章】
即刻【按此】,用 App 睇更多產品開箱科技影片
Source:ezone.hk