要證明網絡保安的價值總是困難的。運作良好下,管理者只會見到:運作正常無事發生,網絡保安似乎毫無貢獻,企業何必為此破費?更有部份的管理層抱著樂觀的心態,認為企業不可能成為駭客的目標對象。私隱專員公署最近就點名批評相片沖曬公司快圖美,指管理層對網絡風險過份樂觀,導致去年遭駭客入侵和勒索,造成金錢和名譽上的損失。
事件發生於去年10月,快圖美的IT部門發現公司的網上商店和數據庫無法正常使用,部份處於辦公室的伺服器和電腦都遭到駭客使用勒索軟件加密。據快圖美的報告指出,多於50萬的會員以及70萬的訪客資料懷疑被洩漏。
專家報告指出,是次入侵源於公司防火牆存有未修補的漏洞,以及公司的VPN未有實施多重認證功能,使到駭客繞過防衛機制進行入侵。令人驚訝的是,防火牆供應商早於2019年時就向快圖美警告系統出現漏洞,容許駭客繞過保安機制直接取得VPN帳戶名稱和密碼入侵系統。提醒快圖美在更新系統前停用VPN,重設所有帳號密碼和啟用多重認證功能。可惜的是漏洞直至事發時都未有修補,公司內部認為現有保安措施已足夠,因此未有採取任何行動,亦未有加強管有客戶個人資料系統的保安。
對於快圖美的行徑,公署直接點名批評公司「對已知風險抱有過份樂觀甚或僥倖心理,明顯地錯誤評估相關漏洞對其載有個人資料的資訊系統造成的風險,以及一旦遭黑客入侵可能引致的後果,令人遺憾。」。
公署未有交代快圖美遭到勒索的金額以及公司有否交贖金,但考慮到事發後聘請專家調查事件,嘗試從備份中回復系統和資料,進行上述行動造成網店停擺,相信對快圖美造成重大的財政損失。更甚的是,處理不善導致會員和客戶資料外洩,加上被公共機構點名批評,對快圖美的商譽造成了重大的打擊,嚴重影響客戶的信任。
所以我們能得到哪些教訓?其中一個成因是快圖美內部錯誤評估公司面對的網絡風險程度,驅使管理者決定無需採取本應必要的行動。正確評估網絡風險程度是企業建立整套網絡防護策略的基礎,不少市面上的網絡保安公司都為企業客戶進行全面的風險分析和評估,除了外部的威脅外,亦包括企業內部系統的漏洞和弱點,以及員工的保安意識,向客戶作出全面的建議。
AVANT為客戶提供Fortinet、Kaspersky和Sophos等國際知名的網絡保安服務供應商的保安解決方案,並針對本地的需要提供支援和協助。為企業客戶同時提供網頁、電郵、檔案方面的保護,並且對網絡的數據傳輸進行加密,以及網頁內容進行管理,減少造成漏洞讓駭客有機可乘。隨著在家工作和遙距工作盛行,網絡保安的重點不再只限於辦公室,AVANT提供終端保護方案,為企員員工的個人設備和移動裝置都一拼納入保護之中,部署跨裝置的全面網絡保安,偵測潛在威脅,防止漏洞和勒索軟件的攻擊。
疫情下不少企業都採用在家遙距工作,然而遙距工作間接增加企業的網絡風險,容易引致駭客入侵的機會。AVANT為企業和員工提供新式VPN方案,採用多種新式技術和策略去為使用者增加安全性,包括使用新制式SSL VPN,透過新式的加密機制,保護使用者的通訊和資料。除此之外,新方案亦採用零信任存取策略(Zero Trust Network Access),以提高保安性能。零信任存取策略假設威脅在網絡的內外都無處不在,每位用戶、每台裝置、每個應用程式都不可以信任,一定要經過身分認證和訪問管理,才能獲得最低級別的信任和相關的訪問權限。
AVANT的專業團隊會分別從企業的網絡、程式與設備多個層面建立企業系統安全網,全天候去保障客戶的系統和個資的安全。AVANT與客戶合作,共同建立一個靈活、簡化的安全計劃,直接與客戶的業務整合在一起。我們的團隊將為客戶提供可靠的安全建議及支援,確保企業客戶能夠掌握網絡保安與犯罪的最新動態和趨勢,適時調整網絡保安策略以應對新出現的挑戰。AVANT明白到只有讓企業的員工都明白保護企業網絡安全的方法和重要性,企業的網絡保安才真的算是圓滿,因此AVANT會為客戶提供最新和針對性的網絡安全培訓教材,讓企業客戶能夠從員工入職開始定期進行網絡安全意識培訓,協助企業客戶從軟硬件架構到員工安全意識建立起一致而無漏洞的防護。
AVANT的團隊擁有多年資訊科技和網絡安全,以及處理複雜項目的豐富經驗,過去曾為眾多企業和政府機構服務以及代理營運企業的網絡保安。AVANT的專業團隊提供24/7的即時支援服務,為客戶應對如數據勒索等即時的網絡安全風險事故。
如果想了解更多如何建立全面的網絡安全意識以及策略,或者測試一下你的員工是否具備足夠的網絡安全意識,請致電2177 1177或電郵marketing@avant-i.com.hk與我們的專家聯絡。我們會為你的企業的情況進行分析,為你建議最適合的網絡保安政策。
Comments