全球已有多款疫苗獲准使用,有跡象顯示我們與致命新冠病毒的戰役到了轉捩點。然而過去一年,我們卻面對另一種病毒,就是針對公共及私人機構的網絡攻擊激增。
據得州的SolarWinds行政總裁Sudhakar Ramakrishna表示,去年12月針對SolarWinds發動的網絡攻擊,涉及微軟及英特爾等100間公司,以及財政部、國防部、司法部及能源部等十多個美國政府機構。另外,美國主要燃料管道因遭受勒索軟件攻擊而關閉,導致東岸各州消費者擔心汽油供應中斷,觸發恐慌性汽油搶購。
與國際刑警組織的看法相若,微軟認為部分原因或與混合工作模式的興起有關,並正採取措施保護公司及客戶。這家全球最大企業軟件供應商將推出相關產品及驗證流程,致力保護家庭辦公裝置,確保設備並無病毒,微軟的網絡亦將轉向零信任安全架構。
零信任服務公司或成收購目標
微軟於美國總統拜登簽署一項行政命令後6天作出此項公布,該行政命令表明聯邦政府必須「推動零信任架構」並「加快發展安全的雲端服務」,而微軟的新聞稿亦表示「未來6至12個月將快速轉移至雲端平台」,以應對各企業對相關多重要素識別的認證工具及產品的需求。
零信任架構假定犯罪分子將破壞網絡防禦,因此將重點轉為使用更為智能的身份工具及終端安全技術,以限制犯罪分子活動範圍及造成嚴重破壞的能力。由於微軟缺乏所需產品,可能不得不尋求收購目標或合作夥伴。因此,提供零信任服務的公司值得留意。
由於零信任架構需要多層安全防禦,每層均設有獨立驗證,因此相比非以此目的設計的企業內部系統,雲端產品更適合執行相關任務。即使企業內部網絡可進行升級,成本亦可能高得令人卻步。有鑑於此,雲端服務的需求將會愈來愈強勁,投資者應密切留意相關供應商。
據《華爾街日報》報道,勒索軟件攻擊的賠償成本不斷上升,是公共及私人組織重視零信任架構的原因之一,2020年的賠償成本已達3.48億美元。攻擊者的伎倆之一,就是先找出某個載有相關公司勒索軟件保險詳細資料的文件,再將贖金要求設在保額上限,以免損及受害公司的盈利。
這類保險的保費可能更適宜用於雲端保護,繼而讓每年花費在企業資訊科技安全上的1500億至2000億美元的一部分,轉為投放於更有效的領域。
網絡攻擊並無減少跡象,各組織必須假設其數據並不安全,優先構建多重要素身份驗證架構,假定威脅確實存在,攻擊必然發生,並且可從傳統網絡內部及外部發動攻擊。在選擇所投資公司時,投資者應選擇採用零信任架構,而非仍然選擇使用過時的防火牆或其他圍繞伺服器的「護城河」的機構。