物聯網 IoT 資安

超連結世界的資安智慧

2016-05-18
世界各大城市正快速朝建立一個超連結的智慧城市邁進,物聯網的重要應用場域將在此擔任要角,尤其跨行業形成「新型態物聯網」IoT產業鏈是重要基礎。在這個超連結網路內,資料安全仍是一項關鍵的需求。
在這個環境內,自動駕駛、智慧型資料管理系統和自動化溫度控制將普遍存在。內部威脅例如進階持續性滲透攻擊(APT)、SCADA/?工業控制系統攻擊,以及外部威脅例如分散式拒絕服務攻擊(DDoS)和Web應用攻擊等,將成為所有企業最高優先的防護重點。

不論企業部署的是傳統網路防火牆或下一代產品,當需要保護IT基礎設施時,單單仰賴防火牆是不夠的,網路犯罪者變得越來越聰明,犯罪手法也更具創新。今日威脅的範圍和複雜性而言,也不存在任何能夠涵蓋並保護所有威脅的單一全能技術或方案。

另外,混合式安全威脅越來越普遍。混合威脅利用多重向量與技術,目的是為了混淆、引開注意和耗盡防衛者的防護力,並且可能在防衛者部署適當反制措施之前即造成廣大的損害。企業除了維持快速和敏捷以掌握競爭力,更不能犧牲端對端的安全態勢與策略。

另一個挑戰是「人」。許多員工若非欠缺知識否則就是不關心自己在網際網路的安全。這可能讓企業的關鍵資料陷入風險。從平台(Web或應用伺服器)到協定(TCP、HTTP、HTTPS)乃至於實際的程式碼,都需要進行掃描、清除、發現和防範攻擊者入侵應用的各種方法。為了維護安全,我們應採取主動、多階層、多維安全策略,以免事後遺憾。

以應用為中心的策略提供了應用所需的關鍵服務,確保常時可用且安全,而不論存取應用的使用者是誰,或者從什麼地方使用何種裝置存取。另一方面,企業可以無縫接軌跨越多重平台提供擁有相同政策保護的應用,不論是企業內部、公共雲端或混合環境。藉由遵循共同的安全政策,將可以舒緩企業內外的風險。

企業現在要解決的問題是如何在「企業安全」與「企業安全支出」之間取得平衡。建議企業掌握五大要訣:

1. 持續修補安全弱點,包括實體和虛擬,以免成為攻擊受害者。
2.維持警覺預防零時差攻擊,因為攻擊者往往會利用這個空窗期。
3. 別假設犯罪率低就是沒有犯罪。
4. 選擇雲端服務供應商時,注意由誰負責安全性。
5. 將應用放在安全策略的中心。

(本文作者現任F5 Networks台灣區總經理)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!