趨勢科技於12月11日發表2020年資安年度預測報告,針對網路安全威脅提出三大重點警示,包含:企業雲端風險加劇、AI偽冒詐騙數量攀升、以及家中物聯網擴大資安風險。
趨勢科技臺灣區暨香港區總經理洪偉淦表示:「企業、工廠甚至家庭工作者在2020年預期將導入更多智慧連網設備,雲端應用服務的使用亦更加頻繁,企業所面對的資安管理議題不僅複雜度升高,與商業永續經營的關聯性亦將更勝以往,如何提升內部資安防禦的能見度,為企業執行長及資安長應該重視的經營議題之一。」
數位創新將迎來雲端風險升高
數位轉型浪潮之下,企業將愈趨依賴雲端進行資料串聯處理,根據Gartner預測,至2022年,將會有多達60% 的企業組織使用外部雲端管理服務。趨勢科技預測因錯誤雲端儲存空間的設定所引發的資料外洩事件將會更為普遍!企業可能因為錯誤的設定,讓駭客有機可趁,導致重要資訊外洩而面臨賠償風險。駭客也可能利用如反序列化(Deserialization)漏洞的程式碼注入手法來發動攻擊,透過直接攻擊雲端服務商或侵入第三方廠商程式庫的方式來竊取企業資料。
另一方面,隨著開發營運(DevOps)環境的日漸風行,企業將更仰賴第三方開發的程式碼,快速開發及更新可能壓縮安全或漏洞相關測試的時間。伴隨歐盟「第二號支付服務指令」(PSD2)生效、開放銀行興起,台灣也即將於2020年進入純網銀服務時代,金融業者將自家API開放給第三方業者,為駭客帶來全新的潛在攻擊機會,與行動支付相關的惡意軟體對於開放銀行與支付系統的攻擊將更加升溫,在API漏洞下,可能遭致隱私外洩的資安風險。
AI偽冒詐騙DeepFakes將持續增加
系統漏洞將成駭客攻防重點
近年來,各種以假亂真的Deepfake技術迅速發展,趨勢科技預測傳統的變臉詐騙(Business Email Compromise, BEC)手法將有所轉變,駭客將利用AI技術合成或模擬聲音以及影像畫面,更加逼真地模仿那些容易在網路上取得聲音和影像的CEO等高階主管,企圖誘使企業員工匯款,進而達成目的。預期此類型的AI合成技術商業詐騙,將更頻繁地出現。
同時,駭客將進一步利用可蠕蟲化的漏洞進行攻擊。針對今年微軟發布的BlueKeep重大漏洞,雖攻擊難度較高,但駭客未來將持續透過廣泛使用的通訊協定如SMB(Server Message Block)、RDP(Remote Desktop Protocol),持續嘗試入侵不受保護的系統。
家用物聯網興起 全面擴大資安風險範圍
隨著家中物聯網環境逐漸興起,根據創市際2018年公佈的「2018台灣微智慧生活」調查,台灣智慧家庭裝置使用率約三成,顯示台灣智慧家庭狀況正逐漸普及,然而此現象也成為駭客入侵的機會點之一 ! 趨勢科技預測駭客將利用家中 IoT 設備進行勒索、詐騙甚至企業間諜活動,透過裝置漏洞為管道,如智慧電視、智慧揚聲器等,監視在家工作者與企業間的對話,掌握企業情資,進一步鎖定企業為勒索目標。
同時,駭客看準物聯網裝置逐漸普及,更鎖定智慧型家用物聯網設備如路由器,進行DNS(Domain Name Server)挾持攻擊。透過劫持DNS將使用者引導至假的網址,取得帳密、個資等重要裝置及個人資訊,進一步進行勒索或販售個資牟利等不法行為,提醒消費者必須要將智慧家庭裝置納入資安防護的考量之一。