【震驚】雲端安全責任 76%香港大機構仍有誤解

    無論是大中小企業,今天同樣面對數碼轉型的各種問題,其中數據移雲就出現不少網絡安全問題。網絡安全企業 Palo Alto Networks 剛發表一份香港及亞太區大型機構雲端安全狀況的調查報告,結果令人震驚,多方面顯示香港大型機構並未理解雲轉移的安全問題,76% 受訪者仍誤以為雲端供應商可保客戶平安,同時亦有超過 3/4 大型機構從沒或未有每年為網絡安全進行審計!

    負責這次調查報告的 Ovum Research,一共訪問了 500 個來自各行業的大型企業員工,受訪對象分別來自澳洲、中國、香港、印度及新加坡等地,每個地區各有 100 個受訪者。儘管今次調查共有 83% 受訪者同意網絡安全及私隱是雲端應用的最大挑戰,不過,Palo Alto Networks 副總裁兼亞太區安全總監 Sean Duca 在分析結果後,認為一些誤解導致管理者疏忽了雲端安全問題。他首先指出部分機構員工對 Office 365 等軟件即服務(Software as a Service)仍不太了解,以為這些辦公室應用並不屬於雲端應用服務;機構管理者亦誤以為雲端服務供應商會為客戶的數據安全負責,足以保護他們免受雲端的威脅,所以未有為雲端作任何安全部署或定期審計。

    【震驚】雲端安全責任 76%香港大機構仍有誤解
    Palo Alto Networks 大中華區技術總監耿強、副總裁兼亞太區安全總監Sean Duca及香港及澳門董事總經理馮志剛(左至右)

    另一項值得留意的重點是,62% 受訪香港企業採用超過 10 種安全工具保護雲端,Palo Alto Networks 大中華區技術總監耿強指出各種工具分散運作,自然大大增加管理的複雜性,網絡安全透明度大減;而且缺乏統一的安全監察,便難以審視多雲架構的漏洞所在,特別在多雲架構情況更見嚴重。

    Palo Alto Networks 香港及澳門董事總經理馮志剛最後又提出一個重大風險,約 57% 的香港機構未有每年為 IT 員工提供網絡安全培訓,而非 IT 員工的培訓率更只得 26%。其實不少安全報告已說明,大部分黑客攻擊全賴員工「協助」,例如誤開釣魚電郵、惡意檔案或連結,所以網絡安全培訓不應限於 IT 員工,而應推展至所有員工之上;而 IT 員工的培訓更應深化,例如提供一些跟 CISSP 認證相關的課程,即使現時香港未有太多實質的監管,員工亦能從國際安全框架上去審視公司的部署是否充足。

    馮志剛建議企業應從一開始就將網絡安全構建到雲端環境,透過各種安全工具如機器學習/人工智能,將威脅情報過程自動化,便能加速雲端應用付運而不減安全性。始終雲端服務供應商只會就其架構的安全負責,機構則對自家的數據及應用程式承擔安全責任,所以他強調所有類型的雲端部署應製定一致的安全策略,就能確保雲端環境安全。

    資料來源:亞太區雲端安全報告08

    #Audit #Automation #CISSP #OvumResearch #PaloAltoNetworks #SaaS #ThreatsHunt

    相關文章