今屆RSA國際網絡安全會議亞太及日本大會(RSA Conference Asia-Pacific and Japan)，有出席者表示，現時資料外洩事故每年合共為涉事亞太區企業造成17,500億美元損失。同時，隨著越來越多公司採用物聯網，網絡安全問題恐怕會大大惡化。

戰略與國際研究中心(The Centre for Strategic and International Studies)是一個全球性的安全事務智庫，總部設於美國首都華盛頓，根據其發出的資料，在截至2018年4月為止的一年內，全球共出現90宗被定性為「嚴重」的網絡攻擊，估計合共對大型公私營機構造成近6,000億美元損失，金額較前一年報指的5,000億美元還要高得多。事實上，由於很多公司往往不願對外公布任何資料外洩事故，以上估算很可能只是實際金額的冰山一角。在上述背景下，RSA國際網絡安全會議亞太及日本大會正好配合時機，為全球業者提供一個探討網絡保安的平台。

雖然會議在名稱中特別提到日本，不過舉辦地點卻非位於東京或該國其他縣市，而是新加坡市中心，相信更能引起注意。另一方面，RSA這個縮寫也很易令人誤會是指地區安全大會，但事實上卻是指RSA Data Security公司研發的公開鑰匙加密技術，具體而言是以該技術3位發明者Rivest、Shamir和Adleman的姓氏首字母組合而成。這些資料不是人人知曉，但應該有助瞭解會議的本質。

RSA總裁Rohit Ghai是今屆開幕禮致辭嘉賓之一。他深信目前業界嚴重錯估網絡攻擊造成的損失，實際數字應遠不至此：「2017年，單以亞太區而言，網絡安全事故便為企業帶來逾17,500億美元損失。

「基於某些原因，和西方企業相比，亞洲公司成為網絡攻擊對象的機會一般高60%至80%。由於事故頻仍，當地很多網絡安全專家早已應接不暇、疲於奔命，因此約44%個案往往完全無人應對。

「基於網絡問題牽涉的範疇極廣，攻擊技倆層出不窮，商家與其展望會有甚麼牢不可破的防衛技術，還不如想想如何日積月累地加強網絡安全。其中一種方法，就是從人員、程序和系統等重要資產著眼。其實，黑客的資源有限，所以一般只會向容易攻擊的目標下手。因此，最佳的自保之道是集中做好每一細節，例如修正防守漏洞，簡單點說就是設法避免令自己成為目標。」

網絡安全問題本已極其繁複，然而微軟(Microsoft)首席安全顧問Lisa Lee認為，隨著物聯網(IoT)裝置的使用範疇日廣，情況將更加惡劣：「目前，我們基本上面對數據泛濫的問題。以全球而言，現在我們每月要分析4,000億封電郵，掃描12億部裝置，保護7.5億個雲端用家賬戶，檢查180億項網上搜尋，以及核實4,500億個身分驗證。在這些工作中，我們每月會發現9.3億個網絡威脅。一般而言，企業現時要防範12至60種網絡威脅。由於他們的數據分散，日常運作又越來越複雜，因此情況便更棘手。我認為，機器學習是解決問題的唯一方法。我們要使用機器來對抗黑客。事實上，他們很多也是利用機器來發動攻擊。

「舉例說，有公司使用普通的規則庫型網絡保安系統，監察所有賬戶登入活動，結果其中28%被歸類為可疑，也就是說他們要檢查2.8億個登入紀錄，看看當中有沒有欺詐行為。由於數量驚人，他們當然沒可能逐一分析。不過後來，他們改用機器學習技術，疑似欺詐行為的比率隨即大減至0.001%。

「另外，今年3月6日，我們更親眼見證旗下的機器學習系統一展身手，表現令人難忘。當日正午時分，系統偵測到一次大規模網絡攻擊，使用的是新種病毒Dofoil。結果，它只用了數毫秒時間，便阻擋了超過400,000次攻擊。」

甲骨文(Oracle)雲端運算部執行副總裁Amit Zavery同樣認為，機器學習將是大勢所趨：「現在，我們面對的是以人工智能發動的密集攻擊，依靠人手對抗根本是螳臂擋車。

「事實上，現時社會出現的網絡入侵事故中，85%涉及的漏洞在事發時已有更新檔予以修正，只是涉事公司未有安裝。一般而言，一家公司每星期會收到約17,000個安全警告，當中準確的只有19%，而有專人調查的更只有4%。正如本公司主席Larry Ellison所說，我們不能依賴人手來與電腦對撼，不然根本必敗無疑，這場必須是電腦與電腦之間的比拼。」

今屆會議，雖然不少看法覺得網絡安全工作將會日益艱巨，不過也有出席者認為，至少從目前所見，某些網絡攻擊威脅已有所緩和。Thomas Keenan博士是加拿大卡加利大學(University of Calgary)電腦科學系環保設計學教授，是有此看法的嘉賓之一。

Keenan表示，在各種網絡攻擊中，勒索軟體個案正在下降：「根據我們今年的調查結果，45%受訪者表示曾受勒索軟體攻擊，較去年的62%大幅減少。不過，這可能只是短期現象，且勒索軟體也絕對有機會轉移目標，改向物聯網裝置下手。

「例如，黑客可能會攻擊醫院的磁力共振(MRI)或電腦斷層(CT)掃描設備，以病人的性命來要脅院方支付贖金。隨著『重要基建』的定義越來越廣，企業功能中的『關鍵任務』又越來越多，這個問題影響的絕對不止醫院。

「現在，物聯網在很多範疇的重要性都與日俱增。去年10月，黑客便看準這點，利用NotPetya病毒攻擊聯邦快遞(FedEx)、馬士基航運公司(Maersk)和默克藥廠(Merck)，令三者合共損失8億美元。因此，我們必須妥善管理旗下的物聯網裝置，並時刻確保它們的保安程式是最新版本。」

賽門鐵克(Symantec)亞太區技術總監Nick Savvides也認為，勒索軟體日後很有機會朝攻擊物聯網的方向發展：「隨著我們使用的科技不斷演進，勒索軟體也隨之變化。記得在2005至2008年，初代勒索軟體都是一些供用家免費安裝的詐騙程式。它們會訛稱在電腦中發現一些問題，並表示付費版本是唯一的解決方法。其後，虛假防毒程式出現，以同一手法行騙。2011年，黑客開始使用加密勒索軟體，發放病毒癱瘓受害人的電腦。2012年，這些加密勒索軟體變得更加精密，到2016至2017年更出現多宗廣為人知的事故。

「根據我們觀察，『挖礦綁架(crypto-jacking)』是勒索軟體的最新發展趨勢，意思是操控受害人的電腦來開採加密貨幣。我們估計，黑客之後會從物聯網裝置下手，入侵工商企業的電腦網絡。因此，商家對所有裝置都應抱零信任的態度，同時也要一直監察旗下系統和雲端服務，留意有沒有任何採幣活動跡象。」

Kevin Skapinetz是IBM Security的策略及設計副總裁，他集中談論亞太區面對的特有問題：「現時，區內一宗網絡安全事故平均會對受害公司造成339萬美元損失。金額如此驚人，原因是目前我們平均要花267天來尋找及處理有關攻擊。要是我們能把時間縮短100天，那麼每宗個案的平均損失就可減少110萬美元。其實，要做到這點絕非難事，關鍵在於提升網絡保安技術，加快應變速度，以及確保公司不同單位能各司其職。

「就這幾方面以言，首先我們正向旗下專有的人工智能技術Watson傳授各種網絡安全知識。目前，Watson已可在數分鐘內提供有用可行的分析，不用再花上數小時。不過，若要改善應變速度，我們便須審視網絡保安機制，為全公司制訂指引，詳述如何應對不同威脅。事實上，制訂明確步驟及清晰分工極為重要。另外，公司還要安排應變程序培訓，讓員工慢慢熟習，務求把執行時間縮至最短。」

 

RSA國際網絡安全會議亞太及日本大會2018已於7月25至27日在新加坡濱海灣金沙會議展覽中心舉行。

 

 

(2018年12月3日，資料來源：HKTDC）