fbpx

Adura 研究顯示:亞洲企業需要更高階的網絡保安服務。

網絡安全顧問公司 Adura 透露,亞洲企業開始要求進階的網絡保安服務,例如「網絡偵察」 (reconnaissance) 或「預早狙擊鏈」(early kill chain) 服務。除了滿足基本合規要求,區內企業現更著眼於威脅情報、網絡人工智能行為和網絡釣魚風險評估服務的價值。



傳統的網絡保安計劃旨在透過道德入侵 (ethical hacking) 、網絡稽核和員工意識訓練來確保合規。可是,以上的措施依據已是過時的舊有框架。當一個框架被認可及有審計師完成相應訓練後,已經出現全新的網絡保安難題。因此,企業必須持高於合規的標準以及長遠視野來應對網絡保安議題。

例如,去年 Adura 的威脅情報服務為客戶辨識並成功化解了超過 750 個高風險暗網資產洩露危機。當中包括外洩的機密檔案、事發前的網絡攻擊情報、偽冒企業及要員身份、被竊取的員工系統驗證、社交媒體報導、電郵鑑識和保安設定。由於辨識以上洩露危機需要專業人員及分析技能,所以傳統的網絡保安工具和常規措施不足應付。

在網絡風險和資訊保安行業擁有超過二十年經驗的 Adura 網絡保安服務總監 Barnaby Grosvenor表示:「從我們對暗網網絡事故的管理工作可見,網絡威脅在現今的數碼世界並不罕見,並對不同的大小企業都帶來重大的影響。威脅的數量以及急速改變的網絡保安和最佳實踐令企業難以有效地管理網絡保安需要。具體的網絡保安計劃要遵從以預防為本的手法,持續地進行偵測以及縮小員工意識、保安管理流程、技能和科技之間的漏洞。」

Adura 提供一個富彈性、度身訂造的方案,與企業內的網絡保安團隊相輔相成,協助保護企業的數碼資產。Adura 的團隊自2016開始運作,現有超過 30 個客戶,包括怡中航空服務和 JEC。

怡中航空服務科技與流程總經理 John Harrison 表示:「Adura 透過進行近100個保安控制檢查,對我們的網絡保安漏洞和風險,以及我們的準備程度進行了詳細而可量化的測試。他們處理網絡保安的全面手法以業務成功為核心,使我們的保安優先次序、預算和企業目標變得一致,這個方法既新鮮及有意義,最重要的是高效。」
簡化網絡保安管理

去年的主要事故顯示,網絡攻擊者變得愈來愈老練。Adura 以其獨特的網絡要素框架 (Cyber Essentials Framework) 協助企業強化網絡保安管理結構,並涵蓋有效網絡保安管理必備的三大範疇:人才、流程和科技。

  • 人才

自攜電子設備的潮流,加上員工對網絡保安最佳實踐理解的差異及影子 IT 等因素為網絡罪犯大開攻擊的大門。教育員工有關網絡威脅、降低受社交工程攻擊和釣魚郵件的影響的資訊十分重要。在 Adura 向客戶進行的模擬釣魚行動中,有20% 的員工開啟了冒充社交媒體邀請或企業內部訊息的釣魚郵件。即使他們接受了有關如何分辨釣魚郵件的訓練,在企業內管理最敏感的員工資料的部門 ── 財務和人力資源部的僱員,被發現往往極可能被釣魚郵件所誤導。這顯示對員工進行持續而有效的網絡保安事故訓練致關重要。

管理網絡保安風險需要全面的思慮,Adura 根據客戶的企業大小、行業和企業目標,與企業攜手妥善計劃流程。根據 Adura 所見,99% 的網絡伺服器缺乏至少 8 個重要的安全修補程式,這歸根於企業內網絡保安流程的漏洞,令企業暴露於網絡威脅。Adura 透過偵測漏洞和為保安更新訂下優先次序,來協助客戶降低風險。

  • 科技

隨著科技環境和網絡保安最佳實踐日新月異,企業需要隨時具備富有專業知識的網絡保安人員來協助檢測和管理他們的風險。Adura 發現區內20%的企業均沒有資訊科技安全總監 (CISO) 或其他專家人員。為了協助確保企業隨時都能利用這些人才資源,Adura 設有虛擬資訊科技安全總監 (vCISO) 服務,提供如一般傳統資訊科技安全總監的高級顧問服務,減省客戶僱用額外資訊科技人員的需要。

Adura 的保安專家團隊獲受多個國際水準認證,例如 CRESTOSCP、信息系統安全認證專家(CISSP) 和信息系統審計師 (CISA)。

如欲得知更多有關 Adura 服務的資訊,請瀏覽 https://aduragroup.com/

 

TechApple.com 編輯部

堅持製作專業科技內容,全員擁有多種不同技術知識的特異科技媒體團隊

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。