數據安全是重大而具深遠影響的社會問題。環球科技領先團隊正研究不斷提升的威脅形勢,以及網絡安全行業應對這全球挑戰的解決方案。

  焦點分析

  • 在公用雲端環境及軟件供應鏈中,網絡安全變得日益重要,而最近發生的網絡入侵事件,暴露了資訊科技基礎設施中的漏洞。
  • 為作出應對,網絡安全公司意識到需要發揮更大的作用,且需要更多創新而有效的安全解決方案。
  • 對投資者而言,該行業存在具吸引力的機遇,但由於若干子範疇股份的估值過於高昂,因此需要謹慎行事。

數據安全對消費者、企業及政府的重要性日漸增加,並且越來越成為具吸引力的投資主題,這是由於其在保護消費者身份、企業數據及地緣政治穩定方面發揮著至關重要的作用。有關全球網絡犯罪的成本,預計到2021年將達到6萬億美元,到2025年更將增至10.5萬億美元,而2015年至2021年的複合年增長率(CAGR)達到15%*。自新冠疫情開始以來,世界加速轉向在家工作模式,而且越來越依賴進行數碼互動,使到網絡攻擊的頻率與強度有所增加,這局部引致網絡犯罪成本急增。

SolarWinds是一間位於俄克拉荷馬州的大型軟件公司,為全球眾多組織提供網絡及基礎設施的監控服務。2020年12月,該公司的Orion網絡監控軟件被發現遭到大規模黑客入侵並襲擊,而該軟件的公營及私營機構客戶合共有33,000名。SolarWinds遭入侵是黑客創新的一個例子,並引發了供應鏈事件,暴露了企業及政府實體的新安全漏洞。黑客所依賴的網絡攻擊策略,目的在規避許多電腦系統正在使用的安全工具及協定。

此次入侵亦顯示,這些黑客越來越膽大妄為,而隨後媒體報導事件引起人們關注到安全軟件供應商受到的攻擊日增,以及市政供水系統等關鍵基礎設施存在的漏洞。

cyber security

 

為何網絡風險正成為更大的威脅?

隨著企業更容易成為勒索軟件的攻擊目標,威脅形勢已有所改變,這是由於黑客現在可從其他網絡犯罪分子購買已識別的網絡漏洞及入侵軟件,而且加密貨幣亦創造了一種匿名接收款項的方式。在此背景下,安全軟件工具的需求產生變化,並給予資訊科技經理、高級管理人員及公司董事帶來了更大的壓力,他們不僅要確保購買安全工具來堵截整個資訊科技架構中的漏洞,還需要確保所購買的工具確實有效,並能夠隨著威脅形勢的發展而演變。

我們預計,威脅形勢將繼續演變,因為2021年存在的許多主題及驅動因素,到今天仍然存在。儘管難以精確衡量,但近年網絡犯罪成本的增長速度,已明顯超過安全軟件支出的增長速度,而且這種情況有可能會持續下去。Cybersecurity Ventures估計,在2031年或之前,僅勒索軟件攻擊的成本就將達至2,650億美元。

全球勒索軟件帶來的破壞成本

Global ransomware costs forecast

資料來源:CyberSecurity Ventures,截至2021年6月3日。F=預測。

應對持續演變的風險需要不斷創新

為應對這種日益惡化的威脅形勢,網路安全方案的買家更加關注所買工具的功效。網路安全公司亦意識到,有需要發揮更大的作用,而「抵抗入侵」被選為今年RSA會議的主題就是明證。RSA是網路安全及數碼風險管理解決方案的市場領導者。這反映網路安全行業的目標,即讓客戶公司遭受更少的入侵事件,並且可以在出現入侵行為時加以抵擋。越來越多公司實施「零信任」框架,這要求通過劃分故障區域(例如使用網路分段(network segmentation))來隔離故障,並將信任程度限制為僅對完成資訊科技網路中的絕對需要活動的最低許可。此概念的指導原則為持續核實用戶身份驗證或授權、最小的特殊許可權存取(privileged access)以及基於網路、使用者、裝置及應用程式的分段存取。

有危即有機

展望未來,我們認為網路安全在公用雲端環境及軟體供應鏈中變得越來越重要,而最近的網路入侵活動揭示了基礎設施中的漏洞,在歷史上協力廠商安全工具未能堵截這些漏洞。隨著客戶將更瞭解網路安全產品的價值主張,加上協力廠商安全工具供應商與公用雲端及基礎設施軟體供應商之間的分界線厘清,當中涉及的經濟模型仍在演變中。鑒於這些資訊科技環境既廣泛又複雜,我們預計隨著時間過去,這兩個領域將產生大量安全支出。

其中一間網路安全專家公司CrowdStrike,為客戶提供與別不同的平臺,以保護端點(個人電腦及伺服器),並採用人工智慧輔助的威脅圖(threat graphs)來防止入侵。該公司還與全體客戶分享產品體驗,講述在一次試圖入侵活動中學習到的資訊。另一方面,Tenable提供有價值的資訊科技基礎設施掃描,以識別入侵及漏洞;而在保護消費者免受惡意軟體及身份盜用影響方面,NortonLifelock是另一家大型軟體商。

科技巨頭在保護資訊科技基礎設施方面,亦發揮著重要作用。通過保護電郵、端點、身份及其他威脅媒介,微軟披露的年度安全業務收入為100億美元(按年增長達40%),而亞馬遜通過其Amazon Web Services保護其雲端基礎設施內的工作負載。與此同時,作為拜登總統網路安全指令的一部分,Alphabet最近承諾將會在網路安全方面投資100億美元。此後,Alphabet發表了一系列產品的公告,旨在提高Google Cloud Platform及Google Workspace生產力套件的安全性。

結語

網路安全行業正在不斷轉變,以應對不斷演變的威脅形勢。隨著該行業產品及服務的需求有所增加,科技公司必須提出創新的解決方案。這種發展因素對投資者有利,創造了若干值得留意且有潛在良好回報的機遇。然而,對資料安全需求的增加亦導致該行業若干子範疇股份的估值快速上升,而這是投資者需加以考慮的因素。

*資料來源:巴克萊股票研究:數碼安全:勒索軟體的威脅日益增加,2021年9月22日。

CAGR:複合年增長率:衡量投資在一段時間內的年增長率,包括複息的影響。CAGR通常用於衡量及比較投資的過去表現或預測其未來的預期回報。

零信任:一種框架,旨在通過從某組織的網路架構中消除信任概念來説明防止成功的資料入侵,簡單來說就是「永不信任,永遠驗證」。