根據雲端安全解決方案供應商Barracuda 的報告,由於生成式人工智能的進步、地緣政治變化、攻擊者策略轉變等因素,2024 年可能會出現新網絡安全威脅,駭客情況有惡化趨勢。這不是危言聳聽,近日羅馬尼亞就有21間醫院遭到勒索軟件攻擊,使其運作幾近癱瘓,比較埋身的就有香港大學教育學院的伺服器遭駭客入侵,估計7400人資料外洩。網絡安全威脅,可謂無日無之。
面對日益嚴峻的網路安全議題,世界各國急切尋找應對之道。歐盟於上月就推出了新的《網路安全條例》(Cybersecurity Regulation),要求所有歐盟機構建立網路安全管治和風險管理框架,並進行定期成熟度評估;美國亦計劃推出名為「網路安全信任標誌」的資安防護認證產品標章,以提高大眾在使用各種連網裝置時的安全性。香港作為國際金融中心,自然會被各路駭客盯上,面對全新的網路安全挑戰,是否完全無險可守呢?非也,近日讀到有香港網絡安全企業與初創的合作,就彰顯出垂範作用。
報導提及的網路安全公司 Cyberbay,是香港首個群眾外包(crowdsourcing)網路安全漏洞賞金平台,其創辦人簡培欽曾任層四大會計師樓之一,負責為企業建立網路安全防線,但近年意識到駭客活動模式大幅進化,目標甚至擴散到中小企業和市民大眾,傳統的網路安全防線逐漸落伍,遂成立獎金獵人平台,主張網絡安全普及化,以賞金制度召集不同網路安全高手,持續為企業進行安全評估並找出問題。除了靈活的商業模式外,Cyberbay亦因時制宜,建立內部的人工智能,一方面協助專家找到漏洞和撰寫評核報告,另一方面透過持續學習和迭代,讓AI發展成為強力的網絡安全輔助,以AI對付AI。
至於其合作對象,是同為初創企業的TechJobAsia,這是本地資訊科技職業配對平台,資料庫中有諸多企業與僱員的數據,自然引來駭客的關注,但純粹靠內部團隊(In-house)處理網絡安全,皮費既重,應對日益嚴重的駭客活動亦成效不彰,像Cyberbay這類平台的加入,就相當於引來一支強力援軍,業術有專攻,既全面提升企業的網絡安全實力,亦可將人才資源集中到核心開發當中,真正把資源和人才用在對的位置。
面對不斷變種的病毒攻擊,初創企業有否在開發產品過程中加入安全設計(security by design),就至關重要。據筆者了解,兩家企業均為數碼港初創培育計劃成員,TechJobAsia就是在Cyberbay 的協助、數碼港的協調下,進行網絡安全檢測,實踐安全設計。這種「病向淺中醫」的做法,讓開發人員得以在設計過程中懂得測試安全問題,並訂立週期,透過逐層的測試,完善設計,而越早發現問題,解決的成本就越低,因而能夠大大強化產品的迭代流程。
上述的例子僅是近日在媒體報導所見,相信科技業界亦有不少人在默默耕耘,透過不同創新方式,應對網絡安全問題。賞金獵人制度也好,security by design也好,當愈來愈多企業參考這些做法,提高網絡安全意識,取易不取難的駭客,相信亦很快會「被迫休業」了。
歐陽熙
** 博客文章文責自負,不代表本公司立場 **