WannaCry、Petya和Bad Rabbit等勒索軟件,在2017年肆虐全球,多個政府部門、機構及企業檔案甚至系統被鎖;與此同時,作業系統漏洞亦造成多宗數據外泄,網絡攻擊依然是企業最為頭痛的問題。
全球網絡資訊保安方案廠商趨勢科技預測,由於企業面對的攻擊層面不斷擴大,暴露更多資訊保安漏洞,黑客利用已知漏洞發動大型網絡攻擊的趨勢,將延續至2018年。所有高層管理人的首要任務,就是修補更新管理與強化員工教育,方能確保企業重要資產的安全。
物聯網裝置欠缺防護暗藏危機
正如《趨勢科技2018年資訊保安預測》報告所言,隨著資訊科技和營運技術持續整合,企業應用程式及平台,勢必暴露在黑客入侵和漏洞攻擊的危機之中。此外,趨勢科技預測物聯網(IoT)漏洞將愈來愈多,因為許多裝置在製造時,並沒有資訊保安或產業規範可供參考。整體而言,連網日益普及與不斷擴大的攻擊面,將令網絡犯罪集團有更多新機會,透過已知漏洞滲透企業網絡。
趨勢科技港澳區顧問總監李浩然表示,愈來愈多黑客針對網絡漏洞發動攻擊,加上他們投放了大量資源開發勒索軟件即服務(Ransomware-as-a-Service,RaaS)基建,令欠缺技術的人亦可透過其服務發動勒索軟件攻擊,因此預料2018年,勒索軟件攻擊頻仍。此外,物聯網漸趨普及,惟普遍物聯網裝置欠缺防護,因此料來年針對物聯網裝置的攻擊將現上升趨勢。
「航拍愈益普及,但航拍機本身能發出wi-fi訊號,一旦遭黑客入侵,即有機會被利用成為流動入侵裝置,遙控航拍機到商業大廈玻璃窗外,透過wi-fi入侵企業網絡。這種在室外半空中進行入侵的手法,過去未有航拍機時很難辦得到。」
GDPR罰額重 勒索軟件蠢蠢欲動
「除了IoT,以工業設施為主的IIoT亦很可能成為攻擊對象,比方說,生產牛奶的工廠對溫度管制有嚴格的監控,否則牛奶容易變壞。黑客可能會將監控溫度的感應器加密上鎖,若工廠拒絕繳付贖金即被迫全面停工。」
李浩然續指,管理人員應該將漏洞管理,列為2018年網絡資訊保安計畫的優先任務,尤其是歐盟通用資料保護法(GDPR)即將實施之際。未能遵從GDPR的企業,將被重罰2000萬歐元或盈利的4%(以較高者為準),對企業而言可謂相當嚴苛。因此相信GDPR實施之後,黑客將針對那些必須符合GDPR,卻又未落實保安政策的企業,一旦勒索軟件成功加密其檔案,則無法符合GDPR,在2000萬歐元罰款和100萬贖金之間,企業必然選擇交付贖金。
由於勒索程式不斷得逞,因此仍然會繼續成為未來一項主要威脅。針對性勒索程式攻擊數量將會增加,黑客將鎖定單一企業作出攻擊,並以中斷其營運為要脅,迫使企業支付大筆贖金。此外,商務電郵變臉詐騙(BEC)攻擊也將逐漸成為犯罪集團的新寵,因為這類攻擊一旦得逞,其報酬相當可觀。
此外,歹徒也將利用一些新興技術,如區塊鏈及機器學習,藉此提升其躲避傳統網絡資訊保安防禦網的技巧。正因如此,趨勢科技推薦企業機構採用多層式的跨世代防禦策略,結合最新的資訊保安技巧與通過驗證的方法。