資料外洩、網路釣魚、自動化威脅 2019年資安3大風險

能力雜誌 2019/04/03 17:21(194天前)
手持裝置普及、社群平台興起、GDPR的實施,使駭客入侵的管道、勒索手法更變化多端,企業與消費者想避免成為「受駭者」,須針對2019年的資安3大風險做好妥善的防範。



趨勢科技發表《2019資安年度預測報告》,針對網路安全威脅與網路犯罪攻擊趨勢,提出3大重點警示:憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法,以及工控系統的安全性持續受到威脅。
趨勢科技台灣區暨香港區總經理洪偉淦表示:「回顧2018年全球資安政策推動,可觀察到各組織及企業對於資料安全的重視;重大資訊安全事件的發生亦凸顯連網裝置普及所面臨的資安問題。預期在2019年企業和組織將導入更多連網設備,而連網速度也將大幅提昇,資訊安全面臨更廣泛與多元的挑戰,不僅企業對於資訊安全團隊的需求更提高,多層式智能防護的資安政策也會在企業經營中扮演關鍵的角色,企業領導人對於網路安全的重視及培養經營團隊資安意識,更是建構自身企業網路安全防護架構的重要基石。」

警示1》慎防機密個資外洩

憑證填充攻擊(Credential Stuffing)是一種利用殭屍網路(Botnet)大軍,使用大量外流的電子郵件地址和密碼,自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。根據美國波耐蒙研究所(Ponemon Institute)與阿卡邁科技公司(Akamai Technologies)的憑證填充攻擊報告指出,憑證填充攻擊事件與嚴重性將持續增多、加深。根據過去幾年來資料外洩事件產生的後續影響,加上民眾在各大網路服務上重複使用相同密碼的習慣,趨勢科技團隊預測2019年將有更多運用憑證的詐騙交易。
此種攻擊對於消費者所造成的直接影響,可能出現在信用卡哩程累積回饋被盜用,或者個人社群帳號遭入侵、利用,以散播惡意評論等;而在企業端方面,除了業務營運受到波及、商譽受損,甚至可能因未善盡資料保護義務,觸犯法規而遭受罰鍰處分。趨勢科技資安預測報告進一步指出,2019年可以觀察到,以獲利為目的之網路犯罪者將利用歐盟最嚴格的GDPR規定─針對未遵守法規之企業處以2千萬歐元(約新台幣7億元),或全球總營業額4%的罰鍰這一點,藉此對企業展開攻擊竊取資料,再用以勒索高額贖金。
因此,企業也將被迫重新思考其目前以資料探勘(Data Mining)為基礎的廣告模式是否值得,因為萬一不小心違反資料保護法,其代價相當可觀。事實上,據趨勢科技預測,到了2020年,新的企業應用程式將有高達75%必須在法規遵循與安全之間做出艱難取捨。儘管隱私權和安全兩者並非不能兼顧,但保障資料隱私權的一些做法將不利於企業徹底掌握資安威脅的來源,並取得進一步的詳細資訊。

警示2》網路釣魚將達新高點

在現今多元裝置以及操作系統趨勢下,駭客將不再像以往,採取單一軟體系統層面的漏洞攻擊套件模式,而是利用社交工程(Social Engineering),廣佈式地進行網路釣魚攻擊,這是歹徒假冒信譽良好的個人或企業機構,誘騙受害者提供個人敏感資訊的一種詐騙。截至2018年第3季,按趨勢科技Smart Protection Network的統計資料,已阻擋超過2億多筆網路釣魚相關的URL,相較於2017年成長接近3倍,預期2019年會再創高點。而有別於以往偽造企業往來信件格式的手法,駭客將透過竊取員工社群網路上的資訊,提高網路釣魚詐騙信件的可信度,達到入侵企業的目的。
在針對消費者的攻擊方面,駭客除了抓住大眾對重大活動的好奇心,例如:透過2020東京奧運的時事議題來進行社交工程詐騙之外,更看上了網路紅人的傳播能力,駭客將鎖定網紅的社群帳號,並嘗試入侵取得控制權,讓網紅帳號成為駭客進行水坑式攻擊(Watering Hole)的工具,利用植入惡意程式的連結或是訊息,騙取追蹤粉絲點閱,使得粉絲遭牽連受駭,造成個人資料與財物損失。
報告同時指出,不僅是E-mail,網路釣魚的管道也開始出現在手機簡訊以及通訊帳戶上,發展出結合社交工程手法的新興網路攻擊,例如:SIM卡劫持手法(SIM-jacking),犯罪者先取得個人電話號碼和資訊,再假冒手機用戶,向電信廠商技術服務人員申辦新的SIM卡,爾後透過簡訊存取用戶的帳號資料,甚至盜用電子錢包。
此外,變臉詐騙(Business Email Compromise, BEC)依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。由於企業CXX高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此,網路犯罪集團未來將降低其攻擊對象的層級。例如:轉而攻擊CxO的秘書、助理,或是財務部門總監、經理之類的職務。

警示3》自動化有被駭風險

由於今日企業營運比以往更加仰賴即時數據,因此工業控制系統(Industrial Control Systems, ICS)網路必須能與企業網路連結,而ICS網路又與各式機電組件結合,包括閥門、調節器、開關和其他機電設備,不論在能源、發電、製造業及運輸業等都已相當普遍。駭客會將不安全的企業網路設備當成跳板,再移轉到最容易攻擊的ICS設備和資料庫,造成交通網絡停擺,能源供應中斷,甚至影響人身安全。
根據趨勢科技的零漏洞懸賞計畫(Zero Day Initiative, ZDI)數據顯示,關於監控與資料擷取系統(Supervisory Control and Data Acquisition, SCADA)的漏洞,大部分出現在協助顯示資料與接受操作人員指令的人機介面(Human-Machine Interface, HMI),駭客藉由駭入SCADA系統,蒐集例如:廠房設備配置圖、關鍵門檻值(Critical Thresholds)以及裝置設定等資料,進而從事後續攻擊,除了可能造成相關營運中斷,更甚者可能利用製程中的易燃物質或是重要資產以威脅生命和財產安全。
此外,商業流程入侵(Business Process Compromise, BPC)是歹徒暗中竄改企業流程以從中獲利的詐騙手法,同時也是未來企業仍將面對的風險之一。而企業自動化將使得企業更難保護其商業流程以防範BPC的攻擊。根據Forrester預測,2019年,企業自動化將導致10%的工作流失。
隨著企業有越來越多監控相關的工作皆透過軟體或線上應用程式來達成,企業若未在一開始就做好防範措施,歹徒將有更多機會可以駭入這類流程。自動化軟體很可能本身就含有漏洞,而且在與現有系統整合時也可能形成資安缺口。不僅如此,由於歹徒也會試圖尋找企業的供應商、合作夥伴或外包廠商的弱點來達成其目的,因此自動化也將為供應鏈帶來資安風險。

資安意識+工具 抵抗被駭威脅

網路安全威脅的影響隨著連網時代來臨更加無遠弗屆。不過,雖然網路威脅者開始利用人工智慧(Artificial Intelligence, AI)發動目標式攻擊,透過AI預測判定企業管理階層和特定對象的相關動向,進而取信周圍相關人士進行入侵威脅;但與此同時,資安廠商也已運用AI模擬以偵測任何潛在的網路威脅,提供企業與消費者多層式的防護。
想要抵禦駭客變化莫測的攻擊手法,趨勢科技資深技術顧問簡勝財分享資安教戰守則:「面對未來連網技術進步與跨平台連網趨勢,企業不能只依靠單一的資安工具,應採取跨世代的威脅偵測技術,在正確的時刻採取有效的防護策略;而民眾更應培養資安意識,對於電子郵件或是通訊軟體上的訊息提高警覺,降低遭受網路釣魚詐騙的風險,或可透過安裝防毒軟體協助保護個人資料與交易安全。此外,除了定期更新密碼,使用多重認證的帳密保護措施,以及密碼管理工具以保護相關憑證資訊,也有助於保護個人機密資料。」


【文/趨勢科技】

【完整內容請見《能力雜誌》2019年4月號,非經同意不得轉載、刊登】
FB留言