漏洞風險管理抬頭

上周假香港會議展覽中心舉行的資訊保安論壇CLOUDSEC 2017，邀得多位來自全
球各地的業界專家，針對漏洞風險管理的Tenable Networks亦在其中。
Tenable Networks高級市場推廣總監Robert Healey笑稱，早年很難說服企業投放
資源在漏洞風險管理之上，許多企業認為部署了入侵偵測等方案，加上防火牆
便已足夠。

「不過在WannaCry勒索軟件肆虐之後，感謝各大媒體報道，有關保安事故幾乎
天天見報。是以突然多出許多查詢，企業亦十分樂意了解漏洞風險管理這一環如
何運作。」

軍事級網絡保安技術

Healey闡釋，所謂漏洞風險管理，其實是指妥善處理面對網絡攻擊時的弱點，
尤其是企業網絡的受攻擊面（Attack surface）。

「網絡犯罪是一門大生意，甚至有外媒指出，網絡犯罪較毒品交易更能賺錢。
過去，不少國家認為言語不通，就能獨善其身。然而當本田汽車也遭受攻擊，
日本也無法再置身事外，必須關注漏洞保安風險。然而保安並非關乎花了多少錢
、購置了多少工具，而是如何降低風險。」Healey續指，Tenable Networks早年
名不經傳，主要為美國政府機構提供軍事級網絡保安設備。如今則進一步將軍
事級保安技術，推向商業機構層面，致力讓他們了解並降低網絡保安風險。

Healey認為，企業必須了解網絡有哪些接入點暴露在外、有哪些弱點，繼而進
行針對性管理。須知漏洞可以是軟件缺憾所引致，包括作業系統、應用程式、
數據庫、JavaScript等等，而這些漏洞往往可被黑客利用，進入企業網絡繼而取
得系統控制權。Healey又強調，大部分入侵行為都屬非直接性的攻擊，反而會
透過連接企業網絡的設備，如打印系統、空調系統，甚至零食及飲品販賣機等
，因此機構的保安必須遍保整個網絡，而非僅限於電腦和伺服器相關系統
。Healey並強列建議企業採用具備業界標準的保安工具，因為就連黑客都已採
用了業界標準。