全面的安全性 - 從中小企業到大型企業的主動防護

#KingstonCognate 介紹 Sally Eaves 教授

Sally Eaves 教授是網路信任 (Cyber Trust) 主席，以及全球網路研究基金會 (Global Foundation of Cyber Studies and Research) 的資深政策顧問。她被譽為倫理道德技術的知識傳遞者，也是聯合國所頒發的尖端科技和社會影響獎首屆得獎者。曾任首席技術長 (CTO)、現為先進技術教授和新興技術領域的全球戰略顧問的 Sally Eaves，也是一位屢獲殊榮的國際級作家、主持人、主題演講者和思想領袖，擅長領域為數位轉型 (人工智慧、5G、雲端、區塊鏈、網路安全、治理、物聯網、資料科學)，以及文化、技能、DEI、永續性和社會影響等方面。

Sally 為支持下一代技術人才，積極投身教育和指導領域，並創立了 Aspirational Futures，以強化教育和技術領域的包容性、多樣性和平等性，她即將出版最新著作《Tech For Good》。Onalytica 等尖端機構持續認可 Sally 在技術領域的全球影響力，從人工智慧橫跨 5G 再到永續性等眾多領域中，名列全球前 10 名名單上。

網路安全風險的重點

1. 日漸蓬勃的網路安全經濟和服務，尤其是利用勒索軟體和網路釣魚的相關服務
2. 民族國家威脅導致攻擊份子的數量及規模增加，助長攻擊情況
3. IoT (物聯網) 和 OT (營運技術) 的整合與創新，使網路安全威脅的攻擊面擴大
4. 分散式和混合式工作型態的快速發展，在我們使用的工具和方式上改變風險性質
5. 越來越多的不實消息、錯誤資訊和惡意資訊的散播，牽動資安攻擊活動的說服力和心理影響及其可信度。

日增月益的資安攻擊對於中小企業而言影響尤甚，特別是勒索軟體和網路釣魚。根據 Verizon 2022 年的研究報告，約有 43% 的網路攻擊以中小企業為目標{{Footnote.N68026}}。以英國為例，2021 年英國國家網路安全中心年度回顧 (NCSC Annual Review) 公布{{Footnote.N68027}}，勒索軟體是英國目前所面臨最重大的網路威脅。英國和美國的中小型企業佔公司總數的 99%{{Footnote.N68028}} (2021 年美國小型企業管理局相關資料)，對全球經濟成長有重要貢獻，同時中小型企業為了連結到更大的企業生態系統，暴露一個越來越有吸引力的資安切入點，也給供應鏈帶來風險。

Datto 的風險研究報告指出{{Footnote.N68029}}，85% 的服務供應商 (MSP) 認為勒索軟體是小型企業面臨的最大惡意軟體威脅。遠端桌面通訊協定 (RDP) 是此類攻擊最常見的媒介。越來越多的中小企業員工採用遠端和混合式工作型態，以及「自帶裝置」到辦公室的風潮興起，使企業面臨新挑戰。影響層面包括威脅區域擴大、疏忽大意和不遵循既有習慣的風險，以及工作流程的不斷演變等。中小企業通常對於「所能提供的」支援水準有所誤解，加上預算限制更大、資源更少且欠缺公司內部專業技術人員，種種因素結合，使得網路攻擊份子將其視為目標。鑑於中小企業對於當地和全球經濟的影響，致使網路攻擊對營運、財務和聲譽產生不成比例的衝擊，成為重大問題。

但這也不全然都是負面消息！首先，中小企業可根據其特色和基礎架構，更快速地進行改革並引入新工作方法，這通常不會有太多舊有技術包袱，或流程瑣碎且決策時間過長的問題。此外，中小企業可以立即改善網路安全狀況，今天做明天就見效。高效率的安全性難以做到、太耗時或太昂貴，現在應該打破這種刻板印象。您以為直接採購「零信任」之類的產品就大功告成了？實則不然。網路安全不是一個目標，而是一個長久的歷程。

那麼，中小企業能做些什麼，來改變對安全性的理解，並改善對風險的處理方式？首先，可考慮一些可用的教育和提升意識的資源，例如英國國家網路安全中心 (National Cybersecurity Centre){{Footnote.N68030}} 所提供的免費最新資源，會是一個絕佳起點。一份研究報告{{Footnote.N68031}} 顯示小型企業未求證某些權威來源資料；反之，一般搜尋時，他們常被網路上大量的建議資訊所淹沒，無法判斷是否正確或訂定優先次序。因此，絕對有必要對您的員工進行教育，並提供支援文件。夥伴關係的力量也很重要，即便是大型企業，通常也會採用專精於網路安全工具、培訓和最佳實務的第三方供應商。這能提供許多支援，針對各種規模的組織量身打造。組織同心協力並公開分享最佳實務，試著減少習慣不良的協作者，還有什麼比這個更好的方法呢？

攻擊份子的攻擊手段會不斷地改良，使其更具影響力，例如結合日益複雜且專業的技術，組成網路犯罪集團等。身處這個產業的組織或個人，都要確實地做出因應，因此必須專注於科技、文化、流程和技能。

正確運用：技術與流程

正如我之前在 Kingston Cognate Twitter Chat (@kingstontechbiz) 所討論的，實際上有約 98% 的網路攻擊可藉由良好的網路習慣來消弭。以下的建議能讓您從技術和流程角度正確地建立基礎：

1. 保持定期備份資料，並且進行測試！
2. 根據技術和合作方式考慮混合型雲端解決方案
3. 硬體、行動裝置、應用程式和作業系統都要保持最新更新，疫情大流行期間常常忽略這個步驟。
4. 使用適當的密碼，儘可能使用雙因素身分驗證 (2FA)
5. 盡量避免使用公眾場所的 Wi-Fi
6. 採用 VPN (虛擬私有網路) 和資料丟失防護軟體解決方案，包括端點檢測、防火牆和病毒解決方案等。
7. 採用持續整合/持續部署 (CI/CD) 這類的敏捷變革管理方式，以較高的頻率進行少量變更，可降低風險。
8. 使用外接式 SSD 固態硬碟和 USB 隨身碟等硬體加密儲存裝置
9. 追蹤、鎖定或抹除被盜或丟失的裝置

外接式 SSD 固態硬碟和 USB 隨身碟等硬體加密裝置是一種極具成本效益的解決方案，便於防止資料丟失，也適用於多數產業的應用程式和各種規模的組織。Rob Allen - Kingston Technology Europe 行銷和技術服務總監的說明：

從政府、國防、情報單位，到金融科技業和醫療保健業，乃至中小企業和 SOHO 使用者，我們都能提供適合的加密 USB 隨身碟解決方案。這款外接式 SSD 固態硬碟具備額外的觸控螢幕 PIN 碼/密碼的功能，十分令人驚艷。

此外，Kingston Technology 優秀的諮詢專家團隊能針對您組織的特定儲存環境和需求，根據潛在優勢量身打造並提供個性化建議。請直接聯絡技術資源團隊，同時我們能提供多種可免費存取且適用於資料中心客戶、企業終端使用者和中小企業的資源指引。資料安全部落格能提供更多支援，您可以找到中小企業強化網路安全的 12 個最重要的技巧。