【網絡安全】金魚缸或成網絡漏洞 專家:銀行需加強網絡透明度

科技 12:40 2020/12/30

分享:

進入數碼時代,網絡安全成為最棘手問題,香港金融管理局(金管局)早前發布「網絡防衛計劃2.0」,希望提升香港金融銀行體系的網絡防衛能力,但物聯網普及,就連金魚缸都會成為漏洞被黑客利用,企業又要如何應對?

金管局在2016年已推出「網絡防衛計劃」,當中包括「網絡防衛評估框架」、「專業培訓計劃」和「網絡風險資訊共享平台」。早前當局就在該計劃基礎上再檢討,並宣布「網絡防衛計劃2.0」,定於2021年1月1日生效並分階段推出。

檢討結果顯示,銀行業非常支持「網絡防衛計劃」,逾9成銀行認為「網絡防衛評估框架」有助它們發現以往未能識別的網絡安全缺口,對銀行網絡防衛起正面作用。而所有銀行都認同,以風險資訊主導的「網絡攻防模擬測試」(iCAST)有助防範網絡攻擊。

>>>【智方便】政府正式開放「智方便」下載 3分鐘即完成登記程序(附下載教學)

>>>【疫市新搞作】美科技公司推社交距離冷衫 行近會亮燈+發出警報

企業網絡安全兩大要點

網絡安全解決方案供應商Check Point香港及澳門總經理周秀雲表示,隨著更多科技技術如5G、雲端以及物聯網(IoT)出現,再加上今年疫情,網絡安全威脅有增無減,提高防衛水平是企業必要手段。

網絡安全解決方案供應商Check Point香港及澳門總經理周秀雲表示,隨著更多科技技術如5G、雲端以及物聯網(IoT)出現,再加上今年疫情,網絡安全威脅有增無減,提高防衛水平是企業必要手段。(受訪者提供圖片)

周秀雲指出,企業現時需留意兩大要點:

  • 企業網絡的基礎架構及透明度
  • 確保人員以及工作流程的安全

她解釋,企業如銀行,要清楚網絡中的各種連接裝置的情況,並要在API(應用程式介面)上做好規範及管理。其次,企業內部人員的行為及工作流程亦很重要。「隨著新型的網上銀行及虛擬銀行推出,銀行必定使用更多雲端服務及科技,銀行亦需要好的網絡安全顧問,以配合新的網絡防衛框架,減低網絡風險。」

黑客攻擊亦與時並進

現時網絡攻擊已經進化,黑客亦懂得與時並進。Check Point北亞區技術總監侯嘉俊表示,今年疫情,與新冠肺炎相關的釣魚電郵及惡意軟件攻擊有上升趨勢。

勒索軟件(Ransomware)已不像以往般以檔案形式存在,現時攻擊已經做到fileless(無檔案),簡單的web link超連結就可以啟動惡意軟件入侵。

侯嘉俊指出,隨著物聯網以及5G技術漸漸普及,終端裝置(End point)如電腦、流動裝置等設備的安全就更加難顧及。「IoT層面的安全就更複雜,辦公室裡面就有各種IP camera、影印機,甚至咖啡機,黑客可以透過入侵這些IoT設備,攻擊公司內部,因此不要只顧及終端安全,而是提升網絡的透明度。」

勒索軟件(Ransomware)已不像以往般以檔案形式存在,現時攻擊已經做到fileless(無檔案),簡單的web link超連結就可以啟動惡意軟件入侵。(法新社圖片)

周秀雲特別指出,其實不少銀行等大型機構,都有很多裝飾及裝置,或許會連上網絡,並對公司整個網絡系統造成隱藏威脅。

好多公司因為風水關係都有魚缸,裡面的溫度計甚至會擁有IP位置,而這些裝置的管理,或許不是在IT部門管轄範圍,要找出這些連接網絡的隱藏裝置是一大挑戰。

她補充,目前有不少企業開始了解關鍵所在,但發現裝置是大廈樓宇的管理範圍,因此正想辦法整合這類型裝置。

侯嘉俊建議,銀行或其他企業可以透過工具如IoT discovery tools,偵測哪些裝置會產生網絡流量,找出各種隱藏裝置。「可透過與該裝置溝通,知道裝置的資料,例如裝置使用哪個操作系統,從而知道是否有漏洞。」

>>>【英國脫歐】英國電訊商公佈脫歐後安排 將不收取歐盟漫遊費用

記者:李彥煒

【按此】提升中小企現金流。高達$1,500獎賞!條款細則適用

緊貼財經時事新聞分析,讚好hket Facebook 專版