環球資訊和通訊科技服務及解決方案供應商達科(Dimension Data),新近發表《2018年NTT Security全球威脅情報報告行政人員指南》,並指出商業與專業服務行業,在2017年所受到的網絡攻擊顯著增加,尤其是歐洲、中東及非洲(EMEA)地區,數目更急升了20%。這些針對行業供應鏈的勒索軟件,和其他網絡攻擊激增,情況實在令人擔憂。
商業與專業服務行業,受勒索軟件攻擊數目佔各行業整體的10%,使該行業的排名由2016年的第6位,上升至繼金融及科技業之後的第3大攻擊目標行業。若單按美洲區來計算,商業與專業服務行業亦處於季軍位置,佔所有攻擊的9%,並成為歐洲、中東及非洲地區最脆弱的行業,受到佔總數高達兩成的攻擊。
供應鏈成頭號數據盜竊目標
隨著針對金融機構兼與勒索軟件相關的外判事故應變安排,由2016年佔全部的22%,下降至2017年的5%;商業與專業服務供應鏈,明顯成為商業秘密和知識產權竊賊的頭號目標,有可能因而泄露客戶及商業夥伴的數據。
根據2018年NTT Security全球威脅情報報告,亞太區製造業的遭受攻擊數目百分比,由2016年的32%下滑到僅僅7%;全因該行業加強了IT安全管治,並更主動提升網絡防護水平。儘管針對金融行業的攻擊數目百分比,由2016年的42%,下調至2017年的26%,仍然是亞太區受到最多攻擊的行業。反觀教育界受到的網絡攻擊數目百分比,則由2016年的9%上升到2017年的18%,升幅足足一倍。
中國是製造業網絡攻擊事故的首要源頭。以歐洲、中東及非洲地區製造業為目標的攻擊當中,便有多達67%源自中國。美洲方面,科技及金融界遭受的攻擊數目,佔了各行業總數的7成。這是因為美國不僅領導全球科技創新,該國的金融業亦收集和儲存了極大量的個人數據,可讓網絡罪犯用來賺錢。而教育界則是澳洲最廣受攻擊的行業。當地教育機構以開放式網絡,和協同環境方便學生、校園、學院,以至大學之間保持連繫,促進研究,使該行業成為網絡罪犯難能可貴的目標。
雖然與金融業相關的外判事故應變安排數目有所下跌,但該行業仍是網絡罪犯的最大目標。不法分子會經常四出試探,找尋潛在的基建架構與應用軟件漏洞。
勒索軟件攻擊急劇攀升
達科亞太區安全業務總經理Neville Burdan表示:「無論是供應鏈還是外判公司,都有無數環節於截然不同但陳舊的網絡基建上運行,使他們輕易成為網絡罪犯的獵物。服務供應商和外判商本身,亦因為擁有各種商業秘密與知識產權而成為主要目標。因此,企業必須看透每項針對他們的真實威脅,兼確保業務營運的各方各面都獲得妥善的安全保障。」
科技界排在2017年網絡安全攻擊目標的第2位,佔整體攻擊數量的19%,而商業與專業服務就進佔第3位。另外,有趣的是針對政府機關的攻擊百分比,由2016年的9%下調至5%。在2017年,勒索軟件攻擊急劇攀升350%,亦即佔去全球所有惡意程式攻擊的7%。這個百分比不但較2016年的1%為高,上升趨勢還會因網絡敵對活動日盛而持續。