中港網絡安全協會關注到近期香港政府部門、機構和公司遭受網絡攻擊的情況,並認為加強對香港郵政認證(HK Post CA)基礎設施安全性非常重要。本會旗下金融服務網絡安全委員會對此提出了一系列措施,旨在提升網絡安全水平,減少數據泄露風險,以及確保敏感資訊得到妥善保護。
在香港,使用由香港郵政發出的證書是使用FPS的強制要求。近年香港郵政認證面臨著不可忽視的威脅,從2008年至2018年,已有19宗不同CA供應商的網絡事件。如果香港郵政認證遭到破壞,所有交易將不安全。此外,所有FPS參與者的證書都需要重新製作。
事實上,不僅是FPS,iAM Smart+也使用香港郵政eCert進行數字簽名服務。證書服務在香港內部的商業和金融服務中發揮著關鍵作用,服務於商業和零售部門。值得注意的是,香港郵政為iAM Smart-cert頒發了「認證實踐聲明」,並且香港郵政聘請外部IA為2023年的CA服務進行獨立從業者保證。在eCert門戶網站https://www.ecert.gov.hk/product/cps/ecert/index_c.html 中,三份審計報告基於以下參考資料:
WebTrust證書頒發機構v2.2.2的原則和標準
WebTrust證書頒發機構 - 帶有網絡安全的SSL基線v2.7的原則和標準
WebTrust證書頒發機構 - 擴展驗證SSL v1.8的原則和標準
這些WebTrust評估為CA的可信度提供了洞察。
網絡安全是一段需要持之以恆的工作,以下是一些例子,可以更好地保護香港郵政CA基礎設施免受網絡安全威脅:
1. 監控和檢測異常事件的安全性。
2. 從不同的安全供應商和組織獲取自動化威脅情報,例如Cybersec、Infohub等。
3. 為所有托管服務器和終端實施EDR/MDR/XDR。(傳統的AV/EPP不足以考慮終端安全)。
4. 所有的特權賬戶和關鍵系統的非特權賬戶都需要多因素認證(MFA)。遠程訪問系統(例如 VPN)必須使用 2FA/MFA。
5. 應實施特權賬戶管理(PAM)系統。
6. 減少Microsoft Active Directory攻擊面,以避免特權提升、橫向移動、黃金票證攻擊等。
7. DNS隧道檢測。
8. 加強對遠程訪問和對系統的特權訪問的控制,需要對遠程訪問進行 MFA,並且需要密切監控
9. 實施強大的網絡分段,根據關鍵性將系統服務器和數據庫隔離,以更好地保護更關鍵和敏感的數據,如客戶的個人數據。
10. 及時監控、評估和實施硬件和軟件提供商發布的安全補丁或熱修復。
11. 應實施數據在傳輸和靜態時的加密。
12. 在進行安全評估時,參考行業安全標準和框架。
13. 將認證機構納入關鍵基礎設施(如果尚未被確定為關鍵基礎設施)。
通過采取以上措施,我們可以進一步增強香港郵政提供的認證服務的安全性和可靠性,有助於增強香港數字基礎設施的整體信任和韌性。
未來,中港網絡安全協會將繼續致力於關注網絡安全的最新動態和發展趨勢,提出針對性的加強措施,並與政府部門、機構和企業等組織合作,共同推動網絡安全意識和技術的提升,以建立更加安全和穩健的網絡環境,保障香港數字基礎設施的安全與可靠性。