達科指環球企業未能與時並進應對新安全威脅

 

最新調查更顯示企業正在榨取資產並更新風險較高的設備

 

根據知名資訊及通訊科技服務供應商達科在2010年進行的調查分析,有超過73%的企業網絡設備含有最少一個已知的安全漏洞 (詳情請參閱附件調查結果概要的第10頁)。這一數據幾乎是2009年錄得38%的一倍。調查結果亦顯示,在所有設備中,有高達66%都含有2009年由思科發現的高風險漏洞PSIRT 109444 (註一),這亦是該調查數據急升的主要原因。除去PSIRT 109444,在所有設備中發現的隨後四種漏洞都少於20%,反映出企業正積極改善漏洞整治。

以上數據,都是環球專業IT服務供應商達科所發布的2011年全球網絡基準報告 (Network Barometer Report 2011) 之重要發現。該報告包含達科於2010年在全球進行270個技術生命週期管理 (Technology Lifecycle Management,簡稱TLM) 評估所獲得的綜合數據,評估範圍涵蓋各行各業的大小機構。透過從最佳實踐經驗、潛在安全漏洞,以及網絡設備的使用週期終結狀況進行配置差異評估,該調查可反映這些網絡是否能用於支援業務。

達科亞洲的網絡整合部總經理Matthew Gyde表示:「儘管一方面要面對來自監管機構、消費者及行政人員方面的壓力,以保護客戶資訊及私隱,另一方面又要應對網絡犯罪分子及競爭對手的敏感商業資訊,許多機構仍未能對其技術資產具備連貫、完整的預見性。事實上,在達科先前進行的調查中,亦發現客戶對其25%的網絡設備都不甚瞭解。」


PSIRT 109444的普遍程度顯示,普及性威脅可能在一夜之間發生。Gyde提醒:「只要有一個漏洞出現,整個企業就會面臨安全失誤,因此企業必須採用更多保護措施。其中之一就是要增加定期網絡掃描的次數,以妥善處理任何漏洞,避免對業務持續性造成嚴重影響、使企業未能遵從法規或引致名譽損失。」

另一方面,該調查亦發現超過最後支援日 (Last-day-of-support,簡稱LDoS) 的網絡設備總體百分比,較2009年的31%大幅下降到2010年的9%。然而,處於淘汰階段後期的技術總量仍然高企,處於使用週期終結階段後期的設備高達47% (請參與附件調查結果概要的第14頁)。這表明,有愈來愈多企業選擇榨取資產 (註二) 至最高風險的生命週期階段,不過仍未有超過這個階段。

Gyde表示:「雖然有些企業表面上是以榨取網絡資產來換取經濟效益,但若然節省的成本不能抵消風險,他們就會面臨嚴重的業務持續性問題。」

雖然超過LDoS的設備比率下降,並不一定意味著企業把某些資產推到特定生命週期階段之後,但是調查結果顯然表明,客戶比以前更重視其網絡資產,並正在更新那些風險最高的設備。相關標準及法規機構亦認同,舊設備的安全漏洞風險較高。


Gyde指出:「如果企業發現一個重要資產已過了軟件週期結束維護,他們就不能獲得由供應商提供的最新安全修補程式。假如軟件未能運用修補程式,便可能會直接違反眾多遵從標準,當中包括付款卡行業數據安全標準 (Payment Card Industry Data Security Standard,簡稱PCI DSS)。結果,安全失誤、法律訴訟、懲罰性賠償亦會隨之而來,甚至會造成名譽損失。」

企業須要瞭解其技術資產的位置、有何作用,以及當其中一個失靈致未能使用時會帶來什麼影響。為實現這一目標,企業必須能夠檢視資產的生命週期狀況,從而正確評估其使用年齡及生存能力。 

除了面對網絡故障的風險之外,IT部門還須找出不能支援新應用及解決方案投資的舊設備。

2011年全球網絡基準報告 (Network Barometer Report 2011) 現可於以下網址下載:
www.dimensiondata.com/networkbarometer

 
達科亞洲簡介 (Dimension Data Asia Pacific前名為Datacraft Asia)
達科亞洲為領先環球資訊科技解決方案及服務供應商Dimension Data 的全資附屬公司。達科於亞太區內十三個主要市場設有六十多家辦事處,致力協助企業客戶規劃、建設、支援、託管、改善及創新資訊通訊科技基建系統。達科融合其在網絡、資訊保安、數據中心方案、Microsoft方案及聯絡中心技術方面的專業知識,以及在顧問、整合、培訓及託管式服務上的豐富經驗,為客戶製定各種資訊及通訊科技方案,助客戶加速實現其商業雄心。Dimension Data為NTT集團成員之一。如欲獲取更多資訊,請瀏覽公司網頁:www.dimensiondata.com


 

 
註一:PSIRT是思科產品安全事件應變小組 (Product Security Incident Response Team) 發現的一個安全漏洞。根據
   思科的廣泛實驗室測試及研究,每個PSIRT都代表一個特定的IOS漏洞。

註二:榨取資產表示用戶延長或充分運用一個固有技術資產的有效使用週期,直到必要時才更換或更新該資產。這讓
   企業可在盡量降低資本開支的同時,獲得最大的投資回報率。

 



Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:達科指環球企業未能與時並進應對新安全威脅;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋