網路資安解決方案廠趨勢科技今發表2020年資安年度報告,針對網路安全威脅提出3大重點警示,包括企業雲端風險劇、AI偽冒詐騙數量攀升、以及家中物聯網擴大資安風險。未來也會有更多可能出現或上升的威脅,則包括有5G或IoT弱點引發的風險;關鍵基礎設備和OT網路仍是未來勒索目標,無論透過勒索病毒或是DDOS攻擊。
針對2020年資安議題,趨勢科技台灣區暨香港區總經理洪偉淦指出,企業及工廠甚至家庭工作者在2020年預期將導入更多智慧連網設備,雲端應用服務的使用也更加頻繁,企業所面對的資安管理議題不僅複雜度升高,與商業永續經營的關聯性也將更勝以往,如何提升內部資安防禦的能見度,為企業執行長及資安長應該重視的經營議題之一。
他表示,數位創新將迎來雲端風險升高,在數位轉型的浪潮之下,企業將愈趨依賴雲端進行資料串聯處理,根據Gartner預測,到2020年將會有多達60%的企業組織使用外部雲端管理服務,趨勢科技預測因錯誤雲端儲存空間的設定所引發的資料外洩事件將會更為普遍。
由於企業可能因錯誤的設定,讓駭客有機可趁,導致重要資訊外洩而面臨風險賠償風險。駭客也可能利用如反序列化漏洞的程式碼注入手法來發動攻擊,透過直接攻擊雲端服務商或侵入第三方廠商程式庫的方式來竊取企業資料。
另一方面,隨著開發營運(DevOps)環境的日漸風行,企業將更仰賴第三方開發的程式碼,快速開發及更新可能壓縮安全或漏洞相關測試的時間。伴隨歐盟「第二號支付服務指令」(PSD2) 生效、開放銀行興起,台灣也即將於2020年進入純網銀服務時代,金融業者將自家API開放給第三方業者,為駭客帶來全新的潛在攻擊機會,趨勢科技預測與行動支付相關的惡意軟體對於開放銀行與支付系統的攻擊將更加升溫,在API漏洞下,可能遭致隱私外洩的資安風險。
近年來,各種以假亂真的Deepfake技術迅速發展,趨勢科技預測傳統的變臉詐騙 (Business Email Compromise, BEC) 手法將有所轉變,駭客將利用AI技術合成或模擬聲音以及影像畫面,更加逼真地模仿那些容易在網路上取得聲音和影像的CEO等高階主管,企圖誘使企業員工匯款,進而達成目的。預期此類型的AI合成技術商業詐騙,將更頻繁地出現。
趨勢科技同時預測,駭客將進一步利用可蠕蟲化的漏洞進行攻擊。針對今年微軟發布的BlueKeep重大漏洞,雖攻擊難度較高,但駭客未來將持續透過廣泛使用的通訊協定如SMB (Server Message Block)、RDP (Remote Desktop Protocol),持續嘗試入侵不受保護的系統。
隨著家中物聯網環境逐漸興起,根據創市際2018年公佈的「2018台灣微智慧生活」調查2,台灣智慧家庭裝置使用率約3成,顯示台灣智慧家庭狀況正逐漸普及,然而此現象也成為駭客入侵的機會點之一 ! 趨勢科技預測駭客將利用家中 IoT 設備進行勒索、詐騙甚至企業間諜活動,透過裝置漏洞為管道,如智慧電視、智慧揚聲器等,監視在家工作者與企業間的對話,掌握企業情資,進一步鎖定企業為勒索目標。
同時,駭客看準物聯網裝置逐漸普及,更鎖定智慧型家用物聯網設備如路由器,進行DNS (Domain Name Server) 挾持攻擊。透過劫持DNS將使用者引導至假的網址,取得帳密、個資等重要裝置及個人資訊,進一步進行勒索或販售個資牟利等不法行為,趨勢科技提醒消費者必須要將智慧家庭裝置納入資安防護的考量之一。
趨勢科技資深技術顧問簡勝財分享提升資安防禦的要點 : 「面對未來雲端應用及物聯網環境逐漸成熟的趨勢,企業在電子郵件、網路、端點、伺服器與雲端工作負載等多變環境下,應採整合性的縱深防禦策略,除了透過網路流量監控和行為偵測,應對常見的攻擊手法,還能透過專業的威脅情資協助企業面對各種攻擊。而民眾應培養資安意識,在行動支付與智慧家庭裝置的個資安全防護須有所警覺,除了可以透過安裝防毒軟體協助保護交易安全與個人資料外,可使用多重認證的帳密保護措施,以防範重要個資被竊。」
趨勢科技2020 年資安預測報告各大重點摘要如下:企業雲端風險提升,第三方風險擴大。利用AI技術進行深度偽冒詐騙之手法將大幅提升。不完整或急於上架的補丁易成駭客攻擊目標。BlueKeep漏洞可能更廣泛的被駭客利用。攻擊線上銀行與支付系統的手機惡意軟將增加,ATM惡意軟體將進一步發展。
遠距工作及聯網家庭設備興起,增加駭客竊取企業情資與網路釣魚勒索機會。駭客可透過低成本軟硬體設備侵入5G網路漏洞,造成資料外洩、網路中斷等潛在資安威脅。
關鍵基礎設施 (Critical Infrastructures, CIs) 與OT網路仍是未來勒索軟體目標,公共設施比私人企業環境更容易遭受攻擊。(蕭文康/台北報導)
訂閱《蘋果》4大新聞信 完全免費
