網絡安全近年越來越受關注,不少公司都加大相關方面的投資。不過網絡安全的定義是什麼?那些因素會威脅網絡安全?網絡安全如何為企業提供保護?有意入行又需要取得那些學歷及證書?本文為你整合所有網絡安全必讀資訊!
網絡安全是指以多層防護的方式保護電腦、網絡、程式或資料,防止來自企業內部或外部的攻擊,包括未經授權人士存取資料、勒索金錢或破壞業務營運等惡意行為。
如需建立有效的網絡安全系統,就要有合適的網絡保安人員、流程及技術,互相補足。
參考資料:Cisco
網絡安全公司Deep Instinct的研究報告指出,在2020年期間,以惡意軟件和勒索軟件進行的網絡攻擊比2019年分別提升了358%及435%,其中「Emotet」殭屍網路服務程式攻擊更急升近4,000%。報告亦提到,Microsoft Office文件檔案是最常見的網絡攻擊方法,其數字上升了112%。
根據《CSO Online》於2021年10月的報導,環球企業向勒索軟件支付的贖金,由2019年的平均約11.5萬美元(約89.5萬港元)上升至2020年的平均約31.2萬美元(約243萬港元)。同期,單一個案最高贖金亦上升一倍至1,000萬美元(約7780萬港元)。
科技日新月異,駭客的手法不斷演變。疫情期間,駭客的主要目標由大型企業轉向缺乏網絡安全意識的遙距工作者及家庭辦工室,並試圖透過疫苗注射及疫情資訊相關的網絡釣魚訊息竊取敏感訊息。一般而言,網絡攻擊的目的都是為了存取企業或相關人士儲存在雲端的個人資料,但近年有更多用戶將資料上傳到在個人裝置、物聯網(IoT)裝置或私人網絡及伺服器上,進一步增加網絡攻擊風險。
綜合上述數字及趨勢現象,確保網絡安全、保護資料不受入侵極為重要。
參考資料:Cisco、SAP、CSO Online
駭客攻擊手法日新月異,影響網絡安全的因素更是不可勝數,以下列出7類最常見的網絡安全挑戰,助大家做好防範:
網絡釣魚是最常見的網絡攻擊方式。駭客會假扮成受害人身邊的人士,例如是同事、上司、客戶等等發送電郵,以騙取得收件人的信用卡號碼、登入資訊等個人資料。
惡意軟體的其中一種。勒索軟體一旦成功入侵目標的系統,就會封鎖其檔案或限制系統存取權,以威脅受害人支付贖金。值得注意的是,即使受害人已經向駭客支付贖金,亦不保證可以解鎖檔案或還原系統。
駭客會透過惡意軟體進行未經授權的檔案存取或傷害電腦。惡意軟體的種類包括電腦病毒、間諜軟體和廣告軟體等,上文提到的勒索軟體也是其中一種。
近年常見手法之一,媒體亦有廣泛報道。騙徒會先和受害人拉近關係,博取信任及同情,之後再訛稱急需用錢或是其他情感勒索的手段,以騙取受害人提供私人資料或是支付金錢。社交工程可以配合其他網絡攻擊方法完成犯案過程,例如誘使受害人點擊連結或下載惡意軟體等。
物聯網裝置例如各種感應器及鏡頭等,都會連結到互聯網,成為網絡攻擊的切入點。《PR Newswire》報道指,物聯網裝置數量估計會由 2020 年的 310 億個上升到 2025 年的 750 億個。數量在數年間倍升的物聯網裝置已經成為駭客目標,攻擊方式包括使用惡意軟體及拒絕服務攻擊(DoS)等。
這種攻擊主要目標為國防、製造及金融業等有較高價值資訊的行業。高級長期威脅屬於多階段攻擊,駭客會潛入目標的網絡,在不被人發現的情況下潛伏系統內部一段時間,以存取資料或破壞關鍵服務。
主要目標是利用大量流量來拖垮受害人的伺服器或網絡,使其在一段時間內不可使用或其他使用者無法存取。這種攻擊或會令系統的連線完全中斷,使受害人在系統停止服務期間出現巨額財務損失。
現時沒有網絡安全方案可以完全保證系統不被入侵,所以企業需要使用多層協同的方式防禦網絡攻擊,為系統築構更強大的保護網。以下是 10 種網絡安全的主要保護範圍:
可以在應用程式開發期間,或是部署應用程式後增加安全性,具體方法包括安裝防毒程式或加密程式及設立防火牆等。
雲端供應商會不斷優化其雲端的安全性,以保護系統及保障客戶資料的安全性及可用性,因此想提高網絡安全的話,可以考慮將企業轉移系統至公有、私有或混合型雲端。雲端安全性還可以分成資料分類、資料外洩防護及加密等。
物聯網裝置的安全性視乎裝置及其應用程式而定,用家應該在裝置內建立安全性、升級安全性及進行安全整合。
社會的有效運作需要不少基建硬件支持,例如電力、供水及公共衛生等,但這些系統很容易受到網絡攻擊。為此,確保這些系統安全運作,免受自然災害、人為攻擊及網絡攻擊等亦相當重要。
結合硬件及軟件,防止未經授權的網絡入侵,避免駭客攔截、更改或盜取系統內的資訊。網路安全性可以再細分成數種,包括登入、密碼及應用程式安全性等。
端點或是一般裝置,包括桌面電腦、筆記查電腦、無線系統以至是手提電話及平板電腦等,都可能導致網絡安全風險。端點安全性包括安裝防毒軟體和反惡意軟體防護、物聯網安全性和雲端安全性。
資訊安全防護重點在於確保所有數位和類比資料的機密性、完整性和可用性。資訊安全防護還可以分為應用程式安全性、加密和災難復原。
資料外洩防護的焦點是防止敏感資料有意或無意地被帶離企業或與他人共用。分類、加密、監控和政策執行等技術都可以做到資料外洩防護的功能。
透過雙重驗證、多重驗證、特權存取管理和生物辨識等方法,幫助企業的系統使用者安全地存取在企業自行架構的或雲端中的資訊和系統。
SIEM 透過即時監控和分析系統的安全性資料和事件,幫助企業在可能被網絡攻擊破壞營運前,就預先找出危機,並作出及時反饋。加入人工智能(AI)和機器學習等技術後,SIEM 更可以分析進階使用者和實體的行為(UEBA),以了解威脅。
參考資料:SAP
網絡安全日趨重要,相關人才需求亦持續增長。根據立法會《培育網絡保安人才》研究,全球於 2020 年有約 310 萬個與網絡安全相關的人才短缺,而在 2018 年全港約 9.6 萬名資訊科技界僱員中,只有約 1.2 人被列為網絡安全工作專才,反映香港正面臨網絡安全人才短缺的挑戰。另外,不少企業因為疫情而加速數碼化,大幅採用各種資訊科技及雲端技術,預計未來相關人才的需求只會有增無減。
除了求賢若渴,網絡安全業界的支出亦節節上升。國際數據公司(IDC)預測,全球網絡安全相關支出的每年增長超過 9%,估計支出於 2023 年將高達 15,00 億美元(約1.2萬億港元),可見網絡安全業具有龐大商機。
另外,網絡安全業的前景亦可見於大環境及政策的配合。近年網絡攻擊個案幾何級地增長,更出現犯罪集團甚至是國家級駭客,導致企業資料洩露或駭客入侵事故經常都有發生,促使企業更加重視網絡安全及。政策方面,歐盟國家已經訂立GDPR法規(General Data Protection Regulation),實施短短兩年已經收到 9.8 億港元的罰款,迫使企業不得不加大力度投資網絡安全,保障網絡安全以免因洩漏客戶資料而遭受罰款。
參考資料:HKCS、HK01、LEGCO、CTgoodjobs
近年網絡安全業如雨後春筍般蓬勃發展,連帶吸引大量的新人銳意投身此一行業。有業界人士分享個人經驗,提到成為網絡保安不一定要於大學電腦系畢業,但凡是對電腦有基本認識,都已經可以獲考慮,而對網絡安全及相關技術有深入認識者更佳。
不過,參考其他求職網站的資料,畢業於電腦相關學科的人士於面試時還是會有一定優勢,一般會更受到僱主青睞。現時香港或外地的大學都已經提供與網絡安全相關的學位或高級文憑課程,有意入行的人士可以考慮報讀這些課程,幫助自己累積相關知識及經驗,增加錄取的機會。
如果想證明自己在網絡安全方便的實力,可以考慮考取相關業界認證,以下是 3 張較權威的網絡安全證書:
CISSP (Certified Information Systems Security Professional) :內容以網絡保安技術為主,包括網絡保安的基本原理、網絡及密碼學原理,適合剛剛入行的人士。
CISA (Certified Information Security Auditor) :內容較全面,包括網絡保安的控制質管理,更會提及基本的審計知識,例如審計原則、權責分工、監控分類等。
CISM (Certified Information Systems Manager):內容比上述兩張證書的程度較高,不建議初入行的人士考慮。
以上 3 張證書在網絡安全業界有重要的地位,不少教育機構都有開辦可以同時考取這 3 張證書的 3 合 1 課程,方便學員一次過取得證書。如能持有這 3 張證書,將可以大幅提高競爭力。不過,即使已經成功考取證書,因為行業技術會不斷進步,網絡保安亦需要與時並進,學習及吸收最新的技術和資訊,以免被時代淘汰。
另外,現時香港專業教育學院亦有開設「網絡安全高級文憑」,該課程為 2 年的全日制課程,入學要求為於中學文憑試中,有 5 科的成績取得第二級或以上,其中需要包括中文及英文兩科。課程會教授網絡安全知識及提供應用學習機會,助學生掌握分析、設計及落實安全的網絡及電腦系統。
網絡安全業界經常都要使用電腦工作,自然需要具備一定的編碼知識。一般而言,網絡保安從業員需要熟悉至少一種編程語言,有能力的話,就應該學習更多其他不同語言以應對未知的網絡攻擊。
有見及此,如你有意投身網絡安全業,就應該學習程式語言,加強編程知識。Preface 提供多個專為成人而設的編程課程,涉及多個不同範疇,例如數據科學、人工智能、編寫網頁及區塊鏈等等,立即點擊以下連結,了解更多!