网络犯罪层出不穷,物联网兴起带来新的资安挑战

来源:Pixabay

2018年3月,Facebook因泄漏使用者信息造成全球对资安保护的重视,究其原因为剑桥分析被检举从2014年开始,透过Facebook平台搜集使用者信息,用于操控2016总统大选、英国脱欧选举,使用大数据来改变用户行为。不论在企业用户亦或是消费者,未来对于资安保护将越趋严格。

2018年5月,欧盟颁布史上最严资料保护条例「通用资料保护条例」(General Data Protection Regulation,GDPR),对产业影响重大,其将资料安全提升至议事日程,从研发、设计、安全防御等方面,尤其每个企业需要保护的数位资产非常多。

换言之,GDPR对信息安全产业有促进作用,未来在数位安全、终端安全、云安全、行动安全、反欺诈与身份认证等,将是各企业重视的一块。

▌网络犯罪层出不穷,企业内部需强化资安意识

目前企业资安面临风险,包括员工缺乏资安意识、钓鱼邮件、恶意程序与勒索软件等,近年来黑客攻击日益严重,挖矿、间谍程序及各式网络攻击难防,造成企业营运成本增加、商誉受损等损失。

其中网络攻击型态已开始产生转变,过去黑客多破坏与炫技,近期则转向追求利益为主的攻击,以WannaCry为例,透过勒索病毒恶意软件不断滋长蔓延,新型变种不断演进,大量资料被锁定加密,使得企业内应用系统和数据库、档案加密后,造成无法正常工作,影响庞大。

不过比勒索软件更危险的是商业电子邮件诈骗(Business Email Compromise,BEC),已被各界视为2018年网络犯罪主流之一,目标多以企业主管、财务为主,通常只要入侵电子邮件、窜改文件,多能让企业不疑有他,并主动汇款至诈骗用账户。

根据统计,2017年全球遭受变脸诈骗攻击的企业,平均损失金额高达20万美元。2018年6月美国政府已展开Operation WireWire行动,包括国土安全部、司法部、FBI、财政部等部门均参与行动,已联手破获多起BEC事件。

▲商业电子邮件诈骗(BEC)流程

由于BEC针对与外部供应链从事商务洽商及/或执行电汇时,进行诈骗攻击,大多企业难以将被骗款项追回,由于黑客通常使用网络跳板、虚拟IP、一次性电子信箱等,追查费时、实务上往往难回收。

企业必须要了解商业电子邮件诈骗案背后被忽视的问题,以持续性渗透攻击(Advanced Persistent Threat,APT)攻击为例,企业平均遭黑客入侵潜伏的时间长达数百天,BEC诈骗也是差不多,从事前锁定目标,到潜伏观察,再到关键时刻假冒客户变更汇款通知,通常都已渗透一段时间,因此必须要时常确认资安防护,一旦企业提早发现并报案,拦阻汇款机会就越大。

▌物联网快速崛起,伴随的是新资安挑战

随着物联网发展蓬勃兴起,信息安全存在于每个可连网设备中,黑客可能侵入汽车的剎车系统等其他所有可以连上网络的设备。为了避免资料外泄,必须要将资料进行分类,包括资料是否可信、资料是否隐私、资料的安全与/或实时传输是否重要、是否需要管理设备的所有权或需依安全的方式移转、是否需要限制或控制接取的设备、是否需要升级设备软件、资料是否经过审核等。

其中台湾面临的资安威胁,主要来自分散式阻断服务攻击攻击、勒索软件、IoT装置受骇、组织型黑客进阶APT攻击及个资外泄等,由于中小企业,碍于IT人才相对不足加上该层级提升且不断,让中小企业所面对安全威胁与挑战非常严峻,未来需加强主动多层次、深度防御Defend in-depth、实时回应与通报等方面布局。

另一方面,台湾随着资通安全管理法于2018年5月11日通过后,未来在资通安全规范不再仅来自企业组织单方要求,而是有更完整的法源依据,且以此母法延伸,后续企业组织相关IT人员建立资安防护也有法可循,从而让台湾信息安全发展与要求有更进一步提升。

来源:拓墣产业研究院TRI

发表评论
留言与评论(共有 0 条评论)
   
验证码:

相关文章

推荐文章

'); })();