Fortinet強烈建議本港企業加強網站安全或受到網絡罪犯侵擾的風險管理,否則可能造成業務中斷,導致收入和生產力上的損失。公司網站是公司推銷商品與服務的重要途徑,許多公司會借助網站發展重點業務,包括為員工提供應用程式、與業務夥伴及其終端客戶進行交易(B2B、B2C)。
Fortinet香港及澳門區總經理馮玉明表示:「今時今日,網絡罪行是增長最快的犯罪活動,企業必須迅速採取行動以確保受到保護。由於網站和網絡應用程式在互聯網上是對外開放的,因而容易成為黑客攻擊的目標。」
馮續說:「網站黑客可採取多種手段進行攻擊,包括破壞網站、盜取資料及拒絕服務。這些惡意活動不但令企業聲譽和誠信受損,更重要是當客戶的敏感資料被盜取時,例如信用卡號碼,便會涉及昂貴的訴訟費。」她同時引用Verizon最近宣布的一份調查結果,顯示網上攻擊的兩大成因是盜竊(金融或個人收益)及黑客主義(分歧或抗議)。
網絡應用程式安全面臨的挑戰
保護網絡應用程式的困難之處在於其透明的結構和動態。網絡安全相對簡單,只需制定安全政策以允許/封鎖來往不同網絡或伺服器的特定流量,然而應用程式的結構涉及數百,有時甚至數千個不同元素,包括URL、參數及cookies,要為每個項目度身創建不同政策幾乎不可能,也明顯地難以推行。此外,隨著新的URL及參數增加,網絡應用程式變化頻密,令安全管理人員難以更新安全策略。
保護公司網站
公司可以運用正確的工具和過程抵禦這些攻擊。Fortinet建議採用以下三項方案管理網絡應用程式安全:
- 安全代碼習慣及代碼評估 – 作為發展週期的程序之一,安全地開拓網絡應用程式及落實安全的代碼習慣,對開拓應用程式工作十分重要。代碼一旦啟用,應該由團隊以外的第三方獨立進行評估。
- 網絡應用程式漏洞評估/穿透測試 – 應用程式應該由人手或透過自動化應用程式漏洞檢測工具進行評估,找出存在的漏洞。透過特定的應用程式穿透測試,可以進一步跟進重點應用程式。
- 安裝網路應用程式防火牆 – 網路應用程式防火牆(WAF)有助機構偵測並封鎖應用層攻擊。除了常用的網絡安全方案外,該防火牆亦不可或缺,因為傳統防火牆負責偵測網絡攻擊,檢查網絡協議並連接小型應用認知。
今天,WAF產品出現眾多變化。Fortinet的FortiWeb應用,例如在單一平台上結合WAF與XML防火牆功能,加上數個附加組件如漏洞掃瞄、加速應用程式及伺服器負載均衡,進一步完善了所提供的基本功能。運用多層保安方法,能封鎖複雜的攻擊。根據雙向流量分析和嵌入式行為檢測引擎,結合正面和負面的安全型號,FortiWeb能夠抵禦廣泛類型的威脅,毋須重新設定網絡架構及改變應用程式。
