【未來預報】IT託管服務供應商警號 國家級黑客集團將大舉進攻
IT 託管服務愈來愈受企業歡迎,因為企業毋須自雇團隊及採購軟硬件,而又能達成營運目標。不過,全球多個安全機構如 NCSC、CISA、FBI 在近期連續發出安全警報,指國家級黑客將會瞄準 IT 託管服務供應商發動攻擊,除了供應商要升級防禦力,客戶亦是時候認真研究合約條款。
在全球 The Great Resignation 大辭職潮下,IT 業界專才職缺漸多,網絡安全業界更是重災區。企業管理者為紓緩 IT 人手不足問題,傾向採用各式各樣的 IT 託管服務,借助服務供應商的專業人士及先進科技,確保業務能夠暢順運作之餘,同時提升網絡防禦力。不過,這類託管服務供應商近來開始成為黑客攻擊的對象,因為黑客只要成功入侵,便有機會藉著它們的基建設備滲透至其客戶網絡,進而竊取公司機密資料,甚至執行勒索軟件,真正做到一舉數得。
有見及此,美國、加拿大、澳洲及英國等地政府屬下網絡安全組織,在上星期先後發出安全警告,內容均預計針對託管服務供應商的攻擊將會愈來愈密集,而且有迹象顯示這些攻擊會來自背後有國家支援的黑客集團。官方認為不論是 IaaS (基建即服務)、PaaS (平台即服務)及 SaaS (軟件即服務) 供應商,一旦遭受入侵,將會影響其廣大的客戶群,因此建議供應商必須加強審查安全漏洞,例如提升數據紀錄監測能力、及時安裝系統更新、啟用帳戶多重因素驗證、分隔內部網絡及嚴格管理帳戶權限,盡力減低入侵的損失。
而在企業客戶方面,官方亦建議企業管理者應詳細審視託管服務的合約內容,確保全面了解合約內列明的安全服務,自己所需執行的安全政策及承擔責任。另外,專家特別強調要留意合約內有否列明供應商會以什麼形式或期限,以通知受安全事故影響的客戶,因為只有及早掌握事故內容,企業才能及早作出反應,減少金錢及商譽上的損失。
相關文章: 【業界要人】網絡安全專才嚴重短缺 Microsoft力推三項人性化安全託管服務
https://www.wepro180.com/microsoft220512/
