19/09/2022
《2022數據威脅報告》揭企業雲端部署暗藏危機 專家教路三招揀一站式數據安全平台
近年受疫情影響,企業容許員工遠端工作的機會大增。為方便存取數據,不少企業都應用雲端儲存或SaaS(軟體即服務)系統,但同時亦容易產生安全漏洞,增加被黑客入侵的機會。Thales大中華及韓國雲數據保護與軟件授權業務資深銷售總監楊偉民(Raymond)提醒,企業要以最小權限原則(minimum privilege)為員工分配登入權限,減低風險。他亦觀察到一站式數據安全平台已成為大趨勢,建議企業在選擇平台時要比較其持續性和擴展性等三大因素。
據《2022年Thales數據威脅報告》顯示,香港企業使用SaaS應用程式的百分比呈上升趨勢。2021年,21%受訪者使用50個以上的SaaS應用程式,2022年則有26%的受訪者會這樣做。Raymond認為,SaaS應用程式越來越廣泛,是全球趨勢,惟無論是使用SaaS應用程式或企業將資料儲存在雲端,如員工網絡安全意識不高,或企業於短時間內設定遙距存取數據的安排時,在身分認證和數據保護設定等方面容易出現漏洞,都會令黑客有機可乘。
隨著企業多了使用雲端技術或SaaS應用程式,同時管理多個資安方案會令公司相當頭痛,在維護系統、培訓員工使用時會變得複雜。企業為減低管理及培訓等成本,會尋求一至兩個資安方案去支援於所有項目,而一站式的數據安全平台亦應運而生。
數據安全平台宜提供中長線方案
Raymond建議企業選擇合適的數據安全平台時,要留意三點:第一,平台要具備持續性,能支持企業未來三至五年的發展及數據安全需求方案,否則企業需要不時轉換平台,導致成本增加。而要做到這點,平台應可同時支援雲端和在地部署(on-premise)的應用,亦要能夠支援不同雲端服務的供應商,因很多企業都不會只使用一種內容安全策略(Content Security Policy, CSP)。
另外,好的數據安全平台應能夠提供支援不同IT應用的方案,平台能支援越多種類的IT應用,其擴展性及可用性就越高。最後,平台便要提供客製化工具讓客戶自行開發,以滿足客戶的特別需求。
Raymond亦提醒企業考慮將資料搬上雲端時,需要顧及以下兩點:首先,安排員工存取資料時,「淨係靠ID同password係唔夠」,除了可設定一次性密碼等多重認證方法外,他亦建議企業要以最小權限原則分配員工的存取權限,避免用戶有過多權限和超級用戶(super user):「員工登入權限都一樣,即係話任何一個人登入公司個網,就咩都做得,呢個好危險,就算係網絡管理員都唔應該睇曬所有資料。」
報告揭企業面對網絡入侵風險日益複雜
事實上,企業面對網絡入侵的風險日益複雜,提升網絡保安刻不容緩。根據上文提到的《2022年Thales數據威脅報告》顯示,45%受訪者表示公司今年受到網絡攻擊的次數增加,當中增長最多的是勒索軟件,有58%,更有逾兩成受訪者願意向黑客付款以解決問題。
報告訪問了2,800名專門負責資安的管理層,來自全球17個國家和地區(包括香港),當中涵蓋廣泛行業和公私營機構的代表。如欲了解更多亞太區報告結果,可按此:https://bit.ly/3CHufFM
【與拍賣官看藝術】走進Sotheby's Maison睇睇蘇富比旗艦藝廊!蘇富比如何突破傳統成規?► 即睇