怎么建立防卫与反制的均衡网络安全

　　物联网由于具备连接性和仰赖API而被运用于许多用途，使其连接的对象数量也成为网络攻击的傀儡…为了建立全面性的安全策略，必须在“单纯的防卫”和“舒缓与反制”之间取得均衡，才能让达到预期的安全成效...

　　随着互联网使用率的急速攀升，加上过去十多年来在线服务的爆炸性成长，越来越多人们持续而频繁地和更多企业组织分享数据。应用程序和网站如雨后春笋般涌现，然而相关的管控措施却呈现片断化。再加上个人信息在社交平台以及其他诸多不安全管道的自由分享，使得身分辨识数据暴露于比以往更大的风险，而且某些情形下等于帮诈欺者开启了一扇大门。很明显的，技术已改变了权力的差异关系，而消费者正引领此一趋势。

　　这是一个混合的世界，技术透过整合以提供多种部署模式效益。当企业转移到云端，优化其营运并且在商业程序内运用更多技术时，应用程序之间的互动也因此变得更为复杂，而安全性是一项关键的要素，因为那是企业在数字年代永续经营的基础。

　　建立正确的安全性

　　物联网(Internet of Things;IoT)正加速在市场累积动能，其快速的兴起也使得后端数据负荷增加，对网络产生极大的压力。尤其，传统IT基础设施和安全环境的感受最为深刻，而且其影响性将只会越来越显著。

　　IoT因为具备连接性和仰赖API而能够被运用于许多用途，然而其连接的对象数量也可能成为网络攻击例如DDoS的傀儡(BOT)。

　　毫无疑问的，这是令人担忧的，此类攻击将激发消费者安全需求，最后促使安全性成为互联网装置的一项关键必备功能。除非企业维持主动防护，否则无所不在的互连装置将成为攻击者的金矿。

　　因此，我们预期将见到更多企业专注于确保IT基础设施的稳定和拥有足够安全性，以支持伴随IoT而来的爆炸性数据负荷。在IoT的消费者安全防护方面，电视和穿戴式装置制造商将把安全性列为他们的最高优先目标。

　　维护安全的金融服务

　　亚太区移动装置的广大普及，以及网络银行的兴起，引来越来越复杂的网络安全威胁。单是去年与今年，以金融机构为目标的Tinbapore变种木马和新的Gootkit攻击、DDoS攻击与WannaCry勒索事件已在台湾、纽西兰、美国、加拿大及其他国家和地区出现。这些演变意谓着攻击者技术的快速进化。

　　以Gootkit为例，它在对金融机构网站发动实际攻击之前，会先利用录像功能做好准备。这意谓着攻击者现在已有能力研究银行内部的交易程序，不用走入银行就能找出核准程序的漏洞。这显示了今日网络犯罪者的创新能力，以及他们愿意为了建立有效的攻击而投入更多心力。

　　金融机构将更多企业级应用程序与服务部署到传统数据中心和云端环境之后，最重要的是必须了解并管控他们的安全风险。一个完善的安全策略不能只把重点放在周边安全，而必须确保信息可用性与机密，以及商业程序的正常运作。企业必须了解和管控风险，才能运用技术建立竞争优势和提供新服务。

　　仰赖在线服务的企业，需要建立全面性的安全策略。非仅保护组织、员工、客户和终端使用者，同时也必须快速因应攻击，确保最低损害。

　　金融机构必须在“单纯的防卫”和“舒缓与反制”之间取得均衡。如果偏向任何一方，安全策略将无法达到预期的成效。