當我們享受著Cloud、IoT、AI等新科技為個人、家庭及企業帶來的便利與好處時,駭客(hacker)們也正在加倍努力發動網路攻擊。面對2020年的資安現況,除了學習過去的經驗、持續將經驗深耕到專精外,也必須重視未來科技的趨勢走向、同步提供資安防禦手段。
隨著物聯網興起,將全面擴大資安風險範圍。
2020年的資安現況,除了學習過去的經驗、持續將經驗深耕到專精外,對於未來科技的趨勢走向也必須同時重視與留意。尤其在數位科技的風潮下,無論個人或企業的資料漸漸都上了雲端,雲端的風險不可不注意;而人工智慧(Artificial Intelligence,AI)一詞更是急速竄起,也將成為駭客所覬覦的目標。除了企業外,當一般大眾投資更多經費為家中添購更多的智慧裝置時,同樣的駭客也正加倍努力發動網路攻擊。因此,當我們不斷跟進未來科技時,也必須同步提升資安防禦手段。
2020年3大資安風險警示
去(2019年)12月中,趨勢科技台灣區暨香港區總經理洪偉淦表示:「企業、工廠甚至家庭工作者在2020年預期將導入更多智慧連網設備,雲端應用服務的使用亦更加頻繁,企業所面對的資安管理議題不僅複雜度升高,與商業永續經營的關聯性亦將更勝以往,如何提升內部資安防禦的能見度,為企業執行長及資安長應該重視的經營議題之一。」
同時,趨勢科技也發表了《2020年資安年度預測報告》,針對網路安全威脅也提出3大重點警示,包含:企業雲端風險加劇、AI偽冒詐騙數量攀升,以及家中物聯網擴大資安風險;同時也針對這3大重點警示提出了相關處置的建議。
1、數位創新將迎來雲端風險升高
數位轉型浪潮下,企業將愈趨依賴雲端進行資料串聯處理,根據Gartner預測至2022年,將會有多達60%的企業組織使用外部雲端管理服務,因此,因錯誤雲端儲存空間的設定所引發的資料外洩事件將會更為普遍。另一方面,隨著開發營運(DevOps)環境的日漸風行,企業將更仰賴第三方開發的程式碼,快速開發及更新可能會壓縮安全或漏洞相關測試的時間。
伴隨歐盟「第二號支付服務指令」(PSD2)生效,開放銀行興起,台灣也即將於2020年進入純網銀服務時代,金融業者將自家API開放給第三方業者,為駭客帶來全新的潛在攻擊機會。趨勢科技預測,與行動支付相關的惡意軟體對於開放銀行與支付系統的攻擊將更加升溫,在API漏洞下,可能遭致隱私外洩的資安風險。
2、AI偽冒詐騙DeepFakes將持續增加,系統漏洞成駭客攻防重點
近年來各種以假亂真的Deepfake技術迅速發展,傳統的變臉詐騙(Business Email Compromise, BEC)手法將會有所轉變。駭客將利用AI技術合成或模擬聲音以及影像畫面,更加逼真地模仿那些容易在網路上取得聲音和影像的CEO等高階主管,企圖誘使企業員工匯款,進而達成目的。預期此類型的AI合成技術商業詐騙,將更頻繁地出現。
3、家用物聯網興起,全面擴大資安風險範圍
根據創市際2018年公布的「2018台灣微智慧生活」調查,台灣智慧家庭裝置使用率約30%,顯示台灣智慧家庭狀況正逐漸普及,然而此現象也成為駭客入侵的機會點之一!隨著家中物聯網環境逐漸興起,駭客也可能利用家中IoT設備進行勒索、詐騙甚至企業間諜活動,透過如智慧電視、智慧揚聲器等裝置的漏洞,監視在家工作者與企業間的對話、掌握企業情資,進一步鎖定企業為勒索目標。
同時,駭客也可能鎖定智慧型家用物聯網設備(如路由器),進行DNS(Domain Name Server)挾持攻擊——將使用者引導至假的網址,取得帳密、個資等重要裝置及個人資訊,進行勒索或販售個資牟利等不法行為,提醒消費者必須要將智慧家庭裝置納入資安防護的考量之一。
整合性縱深防禦,才是最有效的防護策略
趨勢科技資深技術顧問簡勝財分享提升資安防禦的要點:「面對未來雲端應用及物聯網環境逐漸成熟的趨勢,企業在電子郵件、網路、端點、伺服器與雲端工作負載等多變環境下,應採整合性的縱深防禦策略,除了透過網路流量監控和行為偵測應對常見的攻擊手法,還能透過專業的威脅情資協助企業面對各種攻擊。而民眾應培養資安意識,在行動支付與智慧家庭裝置的個資安全防護須有所警覺,除了可以透過安裝防毒軟體協助保護交易安全與個人資料外,可使用多重認證的帳密保護措施,以防範重要個資被竊。」
最後,我們或許可以引用一段話來提醒自己:對於過去的基礎與規則要持續應用與更新,時刻保有警覺與好奇的心態,將防護紮下穩定的根基外;關鍵處上,要全力匯集防禦的資源,單位、機關、產業整體合作前進。