第一線DYXnet專家拆解數據外洩事故成因　SASE保護敏感資料存取　AI驅動SOC防禦多重勒索

新一波數據外洩事故，涉及消防局、公司註冊處、機電署、市建局等多個公營機構，牽連逾 13 萬市民的敏感資料，同期亦有上市公司疑遭入侵數據庫，客戶資料被放到暗網發售。多宗事故反映香港的公私營機構均存在資訊保安漏洞，當中有甚麼值得企業引以為鑑？我們邀請了DYXnet 第一線的網絡安全專家鍾而政（Louis）教路，拆解如何利用近年廣受企業採用的安全存取服務（SASE） 降低數據外洩風險，並透過資訊安全監控中心（SOC）託管服務的 AI 技術及時獲得警報及響應，將事故防患於未然！

SASE 遠端資料存取　保護敏感資料免受黑客入侵

儘管近期數據外洩事故情節各有不同，但均凸顯敏感資料存取權限和及早響應未知安全威脅的重要性。其實早在疫情期間，業界已警惕到「在家工作」模式存在著巨大的安全風險，Louis 表示：「員工在辦公室以外的地方、利用不同的個人裝置進入公司網絡存取資料，假如企業未有啟用多重認證功能，並且沒有檢查終端狀態及行為，分散式的遠端連接網絡會令攻擊點大增，在地部署的堡壘式安全防禦不足以應付來自四方八面的安全需求。」Louis進一步指出，消委會的事故便是如此，根據私隱專員公署最近出爐的調查報告，黑客首先取得消委會一個有管理員權限的帳戶憑證，再透過 VPN 進入消委會的網絡，以勒索軟件攻擊伺服器。

Gartner 於 2019 年提出 SASE 的概念，其零信任（Zero Trust）機制在疫情期間受到企業青睞，Louis 解釋：「SASE 透過嚴格的身分驗證及授權機制來保護數碼資產，當中的零信任網路存取（ZTNA）功能可根據用戶身分控制可訪問權限，並要求驗證和授權每一個訪問，這跟傳統 SSL VPN 單一的權限管理不同，它可因應客戶需求作出權限管理，在不同的數據上都可做到加密認證及使用量監測，完善內部控制。」針對分散式網絡複雜的架構，新一代的網絡安全方案更以減低網絡架構複雜性為目標，結合多個進階的網絡和安全功能於一身，以第一線的 DYXnet SASE 為例，在 ZTNA 以外，還包含軟件定義廣域網路（SD-WAN）、防火牆即服務 （FWaaS）、雲端存取資安代理 （CASB）及網頁安全網關 （SWG），有效從網絡存取、雲端存取及互聯網流量過濾勒索軟件、網絡釣魚及數據盜取等攻擊。

黑客的多重勒索　第一線 SOC 全天候防禦

Louis 強調，數據外洩與勒索軟件的加乘效果對企業構成極大的威脅，黑客甚至會進行多重的勒索，「勒索軟件一旦感染電腦系統後，黑客可以加密受害企業的文件、盜取敏感資料後要脅公開，甚至向受害企業的客戶及生意夥伴進行多重勒索。」Louis 指勒索軟件攻擊事故近年急增，跟生成式 AI 不無關係，犯罪成本降低，導致零日攻擊（Zero-day）出現得更快更頻密，它們一旦潛伏在網絡系統就難以被辨別出來。Louis 表示，對於零日攻擊此等未知威脅，第一線的 SOC 運用 AI 技術主動偵測威脅，「例如新一代的端點偵測及響應（EDR）技術，採用機器學習來執行行為分析，偵查出網絡異常行為並加以阻擋。」他補充，AI 技術大幅縮減響應時間，高準繩度亦能減少誤報。

此外，Louis 還特別提到消委會事故中一個經常被企業忽視的問題：人員離職致使的知識流失（knowledge loss）—— 其實消委會的系統早已偵測到網絡安全威脅，但卻沒有發出警報！調查發現，原本負責網絡安全的員工離職後，偵測及攔截威脅的警報設定並沒有啟動。Louis 強調，資訊安全是一個持續恆常的循環作業，人員流失可導致防護失效，即使新員工上任，亦未必能立即掌握整個網絡架構的弱點。針對知識流失出現的保安斷層，第一線的網絡安全託管服務由專業 SOC 團隊把關，助客戶管理各種安全工具，7/24 持續監測，遇事故即迅速反應，將數據外洩及惡意攻擊的影響減至最低。