發布日期：2023年7月26日

在數碼時代，數碼化已經與各行各業不同規模的機構緊密相連，成為不可或缺的部分。不過，對資訊科技的依賴，卻增加了機構承受網絡威脅和挑戰的風險。網絡攻擊若然發動成功，後果可以很嚴重，包括引致財務損失和聲譽受損。雖然預防措施和外圍防禦策略是有效保安計劃的重要一環，但機構亦必需再加強其網絡韌性。網絡韌性是指機構在監察、偵測和應對網絡攻擊方面的整體能力，目的是盡量減輕網絡攻擊對機構造成的負面影響。今天的網絡空間相互連接，隨時受到攻擊，我們須採用「假定被攻擊」的策略，從被動防禦轉為主動防禦。

主動偵測網絡威脅
「假定被攻擊」的作業模式，是指機構應假定網絡攻擊已經發生，並主動檢測環境中是否有任何因入侵行為而造成的可疑事件。為此，機構應在端點和網絡上有策略性地部署適當的偵測工具，以及時識別異常活動和行為。在選擇偵測工具時，機構應考慮具有行為分析能力的工具，而非僅依賴識別異常模式或識別碼的工具。由於行為偵測工具可以評估系統活動和網絡流量的行為特徵，以偵測異常行為，因此被視為較諸識別碼偵測工具而言更為有效。目前，大多數保安解決方案，如端點偵測與回應(EDR)和端點保護平台(EPP)解決方案，均已具備分析實時系統行為的能力，偵測是否受到威脅。

保持良好的記錄作業模式
全面的記錄機制亦極有必要，能幫助我們了解和追踪系統和保安事件，並有助加強持續監察潛在的網絡威脅。為了建立有效的記錄作業模式，機構應先確定哪種日誌記錄配置有助確定系統是否受到入侵，以及系統受到入侵影響的程度。可能有需要加以記錄的事件包括更改系統配置、外部通訊、身份驗證和接達、保安工具引發的警報，以及改動保安工具的啟動狀態。為便於尋找威脅和分析事件，機構應確保記錄的保存時間夠長，並避免被覆寫。一般而言，記錄應至少應保留六個月，並應實施足夠的措施保護記錄，以防止攻擊者篡改記錄。

建立主動進行安全監察的能力
現今的網絡攻擊者往往會避開偵測，並藏匿在機構的系統環境或網絡基礎設施中，以盡可能收集更多資訊，才發動攻擊。建立一個堅固的安全監察系統，包括對記錄進行主動和持續的分析，以查找異常的系統行為和已知的攻擊模式，可以讓機構及早發現受到入侵的跡象，迅速作出應對，從而減少可能受到的影響。雖然沒有一套通用做法，但機構應根據所面臨的威脅和可用的資源來建立其安全監察系統。不論採用哪種做法，機構宜通過自動化工具進行安全監察，例如安全資訊與事件管理(SIEM)方案，可以集中收集和整合不同系統的記錄，以便即時發現安全問題並盡速處理。為了應對不斷變化的威脅形勢，應不時加強安全監察(包括SIEM的預警規則)，加入威脅情報和安全報告所分享的最新入侵指標。

建立應對網絡威脅的有效措施
在掌握系統環境中的活動後，下一步是有系統和高效地準備好應對安全事故，並恢復受阻的服務。當中需要作出適當的人手和責任分配、預留足夠的資源、制定事故處理程序，甚至編製事故應變手冊。為了有條理且自動化地應對安全事故，編製事故應變手冊是至關重要的第一步。雖然手冊的形式視乎機構的規模和類型而定，但通常包括工作流程和操作程序，以協調不同情況下的應變工作。除了手動程序之外，機構還應考慮安全工具所提供的全自動或半自動操作程序(例如終止惡意程序、隔離有可疑出站網絡流量的端點或禁用異常用戶帳戶)，以進一步加快整體的應變工作。此外，機構員工對於防禦網絡威脅的準備也同樣重要。機構應定期進行網絡安全演習，讓每位支援和管理人員熟悉事故處理程序，同時提供機會優化事故應變流程。

建立共享威脅情報的生態系統
提升網絡的抗禦能力需要持續保持警覺和不斷投入，才可以跟上日新月異的攻擊方法和加強已建立的偵測和應變機制。然而，機構可能難以單獨應對瞬息萬變的網絡威脅。為了在不斷變化的威脅形勢下保持優勢，機構應積極共享和交流有關攻擊方法和入侵指標的最新資訊，並及早採取預防措施，互相協作，以提供多一層針對網絡威脅的保護，最終得以減少網絡攻擊的整體影響。