嶄新風險管理策略打擊新興網絡犯罪

作者：RSA 亞太及日本區副總裁 Nigel Ng

流動購物和電子支付熱潮勢不可擋，大型手機供應商、網上商城以及銀行蜂擁地推出手機付款系統、P2P 轉帳功能以及電子錢包等服務。隨著這個趨勢一直發展下去，有研究預期，亞太區的流動付款額將達總付款額的十分之一。由這些數碼交易所產生的海量數據，為黑客製造更多入侵機會。企業面對網絡罪行的壓力大大增加，他們一不小心，隨時賠上巨額金錢和公司名譽，甚至令業務系統遭到嚴重破壞等後果。

勒索軟件近期肆虐，EMC 旗下資訊保安部 RSA 最近也偵測到一款「sandbox-aware」的勒索軟件，能辦悉並迴避沙盒技術。這款進階的勒索軟件不僅可繞過防毒軟件及入侵偵測，更利用嶄新的技術在沙盒環境中以冬眠狀態一直運行。調查源碼後發現，勒索軟件用上多種代碼混淆技術，令資訊保安系統難以追蹤。

然而，黑客的技倆再厲害也不是導致網絡攻擊不時發生的主因，資訊保安環境越趨複雜而讓黑客有更多方法和渠道乘虛而入，才是真正的問題所在。故此任何企業或組織都必需不斷改善偵測及回應網絡威脅的策略，其中有不少公司開始把網絡保安風險評核納入年度審計計畫之中。根據 Protivity 調查，有意開展此計劃的企業高達七成，比 2015 年同類調查大增 20%，不過，這些數字也未能反映企業為加強資訊保安所下的苦功，也不代表措拖有效和足夠。

為幫助企業更有效了解其資訊保安系統及其科技投資路線圖是否有效，RSA 進行了一項網絡威脅偵測成效調查，結果發現只有 24 % 的企業對其偵測及調查網絡威脅的能力充滿信心，很少企業能夠快速地偵測及調查網絡威脅，令入侵者有更長時間停留。該調查報告綜合分析，提出明確的建議，指出企業應轉守為攻，摒棄以往被動的防禦措施，如基於周邊防禦的保安技術如防火牆、防毒軟件和入侵偵測系統以防範攻擊，改為採取主動出擊的策略，才可應付流動購物和電子支付等趨勢帶來的全新保安需求。

今時今日，企業正在分散風險管理職能以盡量拉近與風險的距離，風險管理不再只是管理層的責任，前線員工也需對風險管理作出更多貢獻。企業要尋求一套積極的風險管理方案，讓企業的「三道防線」，包括管理層、風險管理團隊和審計團隊都能輕鬆有效地進行風險管理。

這「三道防線」包括：

第一道防線：管理層有職責承擔起作為風險管理第一道防線，及更直接參與風險的辨識、評估和補救的工作，必須了解甚麼是企業的關鍵任務，並用盡所有資源保護最重要的業務。 第二道防線：要瞭解整個企業的整體風險狀況殊不容易。風險經理需利用嶄新的風險管理解決方案優化工作流程，快速調整風險管理程序，大大節省成本和時間，以更專注於分析及評估工作，追蹤指標和造成損失的事件，並對數千打破陳規的報告、風險分析工具、儀錶板和特設報告工具進行風險報告，從而有效向管理層闡釋風險可能造成的正面及負面影響，主動把風險管理和業務目標掛勾出來。 第三道防線：內部及外部的審計團隊必需能夠獨立地評估企業真正的風險水平，誠實地指出企業當前的風險管理架構是否足以應付需求。