若說2017年最備受關注的保安事故,首推勒索程式和加密虛擬貨幣被盜。全球網絡資訊保安方案廠商趨勢科技新近發表的「2017年資訊保安回顧報告」亦指出,在2017年,勒索程式、加密虛擬貨幣挖礦程式,以及商業電郵詐騙(BEC)的數量持續攀升,網絡犯罪集團不斷改良其針對性攻擊手法,以提升利潤。
報告更料此趨勢將延續至2018年,且隨著新的歐盟通用資料保護法規即將推行,歹徒將開始鎖定須遵守這項法規的企業。
黑客瞄準歐盟通用資料保護法規(GDPR)
這份題為「似是而非的網絡威脅」的資訊保安回顧報告,印證了趨勢科技之前發布的「2018年資訊保安預測」── 網絡犯罪集團已開始逐漸放棄利用漏洞,攻擊套件亂石投林的手法,轉而改用更有策略的針對性攻擊,來提升投資回報率。
依如此形勢來看,不法份子很可能會開始勒索一些,須遵守最新歐盟通用資料保護法規(GDPR)的企業。他們會先根據網絡公開資訊,計算出目標企業在發生資料外泄時,可能面對的最高罰款金額,然後再入侵該企業,並要求一筆低於該罰款的贖金,該公司管理層在兩害相權取其輕之下,唯有乖乖付贖金。
「2017年資訊保安回顧報告所揭露的威脅形勢,就如同過去一樣詭譎多變。網絡犯罪集團不斷開發提高利潤的手法,不論是財物、資料或商譽,歹徒總是策略性地鎖定企業最有價值的資產。」趨勢科技港澳區顧問總監李浩然補充:「這再次印證了我們之前的看法:面對變化多端的網絡威脅,企業沒有所謂的萬靈丹可用。一套跨世代的方案來融合多種通過考驗的防護,再加上頂尖的最新防禦技巧,才能協助企業有效降低風險。」
物聯網裝置或含系統漏洞
除此之外,這份報告也指出,勒索程式家族數量從2016至2017年成長了32%;商業電郵詐騙(BEC)攻擊數量,在2017年首兩季已翻了一倍;而加密虛擬貨幣挖礦惡意程式數量也急速增加,至2017年10月,已突破10萬關卡。
另一項日益嚴重的資訊保安威脅,是含有系統漏洞的物聯網(IoT)裝置。趨勢科技在2017年全年,偵測到4,560萬次以上的加密虛擬貨幣挖礦活動,佔所有物聯網活動中相當高的比例。未來軟件漏洞仍將持續成為歹徒的攻擊目標,趨勢科技ZDI漏洞懸賞計畫,及其3,500多名獨立資訊保安研究員,在2017年總共發現並揭露了1,009個新的漏洞。