趨勢科技的 2019 資安年度大預測:駭客攻擊由 IT 轉向 OT,人機界面是主要漏洞

【我們為什麼挑選這篇文章】趨勢科技近期和中華電信合作行動資安解決方案,也和 moxa 打造工業物聯網防禦系統,可見趨勢目前正在將現有的資安解決方案更加多元化,在實務、技術上,趨勢看見的「趨勢」是有趣的,值得企業主、消費者參考。(責任編輯:林子鈞)

全球網路資安解決方案領導廠商  趨勢科技  發表 2019 年資安年度預測報告 ,針對網路安全威脅與網路犯罪攻擊趨勢,提出三大重點警示:憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法以及工控系統的安全性持續受到威脅。

趨勢科技  臺灣區暨香港區總經理洪偉淦表示:「回顧今年全球資安政策推動,可觀察到各組織及企業對於資料安全的重視;重大資訊安全事件的發生亦凸顯連網裝置普及所面臨的資安問題。預期在 2019 年企業和組織將導入更多連網設備,而連網速度也將大幅提升,資訊安全將面臨更廣泛與多元的挑戰,不僅企業對於資訊安全團隊的需求將提高,多層式智能防護的資安政策將在企業經營中扮演關鍵的角色,企業領導人對於網路安全的重視及培養經營團隊資安意識,更是建構自身企業網路安全防護架構的重要基石。」

趨勢科技台灣區暨香港區總經理洪偉淦

個人資料與憑證外洩攻擊激增,企業機密與民眾個資岌岌可危

憑證填充攻擊(Credential Stuffing)是一種利用殭屍網路(Botnet)大軍,使用大量外流的電子郵件地址和密碼,自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。根據美國波耐蒙研究所(Ponemon Institute)與阿卡邁科技公司(Akamai Technologies)憑證填充攻擊報告指出,憑證填充攻擊事件與嚴重性將持續加深。過去幾年來的資料外洩事件後續影響,加上民眾在各大網路服務上重複使用相同密碼的習慣, 趨勢科技 團隊預測 2019 年將有更多運用憑證的詐騙交易。

此種攻擊對於消費者所造成的直接影響可能出現在信用卡哩程累積回饋盜用,甚至個人社群帳號遭入侵利用散播惡意評論等;而在企業端方面,除了業務營運受到波及與商譽受損,甚至可能因未善盡資料保護義務,觸犯法規而遭受罰鍰處分。 趨勢科技 資安預測報告進一步指出,2019 年可以觀察到以獲利為目的的網路犯罪者將利用歐盟最嚴格的 GDPR (針對未遵守法規之企業處以 2 千萬歐元,約新台幣 7 億元或全球總營業額 4% 的罰鍰),藉此對企業展開攻擊竊取資料,藉此勒索高額贖金。

網路釣魚取代過去漏洞套件攻擊,預期  2019 年網路釣魚惡意網域將再創高點

在現今多元裝置以及操作系統趨勢下,駭客將不再透過以往單一軟體系統層面的漏洞攻擊套件模式,轉而利用社交工程廣布式地進行網路釣魚攻擊。截至今年第三季, 趨勢科技 Smart Protection Network 已阻擋超過 2 億多筆網路釣魚相關的 URL,相較於 2017 年成長接近三倍;預期 2019 年會再創高點。

而有別於以往偽造企業往來信件格式的手法,駭客將透過竊取員工社群網路上的資訊,提高網路釣魚詐騙信件的可信度,達到入侵企業的目的;消費者方面,除了抓住大眾對重大活動的好奇心,透過如 2020 東京奧運的時事議題來進行社交工程詐騙之外,利用網路紅人的傳散能力,駭客將鎖定網紅的社群帳號並嘗試入侵取得控制權,成為駭客進行水坑式攻擊(Watering Hole)的工具,植入惡意程式的連結或是訊息,騙取追蹤粉絲點閱,使得粉絲遭牽連受駭,造成個人資料與財物損失。

報告另外指出,除了傳統信件,網路釣魚手法開始出現在手機簡訊以及通訊帳戶上,結合社交工程手法的新興網路攻擊開始出現,如 SIM 卡劫持手法(SIM-jacking):犯罪者取得個人電話號碼和資訊,假冒手機用戶,向電信廠商技術服務人員申辦新的 SIM 卡,爾後透過簡訊存取用戶的帳號資料甚至盜用電子錢包。

ICS 工業控制系統攻擊威脅持續攀升, HMI 人機界面持續成為  SCADA 系統主要漏洞

今日企業營運比以往更加仰賴即時數據,因此 ICS(工業控制系統)網路必須能與企業網路連結,而 ICS 網路與各式機電組件結合,包括閥門、調節器、開關和其他機電設備,已經遍及在能源、發電、製造業及運輸業等。 趨勢科技 提及,駭客將不安全的企業網路設備當成跳板,再移轉到最容易攻擊的 ICS 設備和資料庫,造成交通網絡停擺,能源供應中斷,甚至影響人身安全。

根據 趨勢科技 ZDI(漏洞懸賞計畫)數據顯示,關於 SCADA 監控與資料擷取系統的漏洞,有大部分比例出現在協助顯示資料與接受操作人員指令的 HMI 人機介面,駭客藉由駭入 SCADA 系統將可蒐集如廠房設備配置圖、關鍵門檻值(Critical Thresholds)以及裝置設定等資料,進而從事後續攻擊,除了可能造成相關營運中斷,更甚者可能利用工業中的易燃物質或是重要資產以威脅生命和財產安全。 

抵禦無所不在網路安全威脅,企業與個人應實際採取網路安全防護措施

網路安全威脅的影響隨著聯網時代來臨更加無遠弗屆。據 趨勢科技 2019 年資安預測報告顯示,網路威脅者開始利用 AI 人工智慧發動目標式攻擊,透過 AI 預測判定企業管理階層和特定對象的相關動向,進而取信周圍相關人士進行入侵威脅;但與此同時,資安廠商也已運用人工智慧模擬以偵測任何潛在的網路威脅,提供企業與消費者多層式的防護。

趨勢科技資深技術顧問簡勝財

抵禦駭客變化莫測的攻擊手法, 趨勢科技 資深技術顧問簡勝財分享資安教戰守則:「面對未來連網技術進步與跨平台連網趨勢,企業不能只依靠單一的資安工具,應採取跨世代的威脅偵測技術,在正確的時刻採取有效的防護策略;而民眾更應培養資安意識,對於電子郵件或是通訊軟體上的訊息提高警覺,降低遭受網路釣魚詐騙的風險,或可透過安裝防毒軟體協助保護個人資料與交易安全,此外,除了定期更新密碼,使用多重認證的帳密保護措施,以及密碼管理工具以保護相關憑證資訊,也可幫助個人機密資料的保護。」

趨勢科技 2019 年資安預測報告各大重點摘要如下:

  • 透過社交工程信的網路釣魚將取代漏洞攻擊套件成為主要攻擊模式。
  • 憑證外洩盜用事件的數量與嚴重度將大幅提高。
  • 員工在家工作及使用家用裝置連網的趨勢,使企業面臨類似 BYOD 自帶設備的資安風險。
  • 歐盟將針對違反 GDPR 的大型企業開處全球營業額 4%或是 2 千萬歐元高額罰鍰。
  • 除了企業管理階層,變臉詐騙將更深入企業其他管理層級或是相關員工。
  • 自動化將提高商業流程入侵的風險。
  • 工控系統的目標攻擊持續成為隱憂,HMI 人機界面也將持續成為 SCADA 監控與資料擷取系統的主要漏洞。如需 趨勢科技 2019 年資安預測的進一步內容,請至: 2019 年 資安年度預測報告

TO 編按:攻擊手段多元化,全球資安人才缺口湧現

除了趨勢科技本次主要發表的事件之外,趨勢科技台灣暨香港區總經理洪偉淦和資深專案經理黃旭堃在會中的對話上不約而同都談到了資安人才缺口的問題。由於各國目前都正在提高對各公司資安門檻的要求,致使各國企業目前都在因應新的需求徵召相關資安人才,也因此出現了世界資安人才缺口。就如同台灣過往政府機構的資安人才目前正被金融業大量挖角,由於出身政府機構的資安人才不只了解法規,更懂得和政府溝通,因此對金融業有相當的吸引力。

而下個世代資安危機正在從 IT 轉移至 OT(Operation Technology),由於企業的上雲、物聯網,都可能導致公司內部的網路被慢慢滲透、綁票,洪偉淦笑說「這其實也代表台灣智慧製造發展有點成績」。但企業確實應該要在資安管控上更加注意、小心,可以在現有系統上加裝相關套件,或是直接將過時的防禦系統升級。

2019 資安守則

趨勢科技最新合作:與 Moxa 共組新公司,打造「工業物聯網」最強資安!

動態防護龍頭「星盾科技」發表 2018 資安報告:自動化攻擊將變得「更像人」

趨勢科技董事長談 30 年創業路:不跟風、正面迎向挑戰,成就台灣一代「資安巨人」

(本文訊息由 趨勢科技 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。本文提供合作夥伴轉載。)


我們正在找夥伴!

2019 年我們的團隊正在大舉擴張,需要你的加入跟我們一起找出台灣創新原動力! 我們正在徵 《採訪社群編輯》、《助理編輯》,詳細職缺與應徵辦法 請點我

點關鍵字看更多相關文章: