除了勒索軟體之外,變臉詐騙以及惡意挖礦成企業資安的新威脅
根據趨勢科技最新資安報告指出,2018年上半年共發生15起每件超過百萬筆資料遭竊取的企業資安事件,相較於2017下半年的9起大型資料外洩事件有顯著攀升的趨勢,顯見駭客對於盜取企業機密資料的野心仍未停歇。
趨勢科技全球安全研究副總 Rik Ferguson 表示:「AI、IoT與IIoT的技術發展逐漸普及,驅使數位資料應用與企業營運更為緊密連結。國際間對於資料保護規定的推行,例如歐盟的一般資料保護規定 (General Data Protection Regulation, GDPR) 上路,已影響並推動企業對於資訊安全管理的策略。」
Rik Ferguson也提出,過去駭客影響企業資安的手法依然盛行,如假借企業高層身份或是關係企業要求匯款的商業電子郵件詐騙(Business Email Compromise, BEC),抑或運用勒索軟體入侵企業內部系統,盜取商業機密或客戶資料要求企業支付贖金等犯罪形式。
此外,今年上半年急速攀升的挖礦惡意軟體更對企業系統產能造成影響。Rik Ferguson 呼籲企業應將任何潛在資安風險納入考量,把資訊安全政策納入長期營運規劃,並透過全方位資安架構佈建及持續性的資安教育,才能真正將資安落實在企業營運各層級中。
ZDI零時差提供廠商漏洞情報,即時更新修護
首度來台的零時差計畫(Zero Day Initiative, ZDI)資安計畫經理 Shannon Sabens 在分享內容中提到,ZDI 成立至今13年來已經與全世界80多個國家、超過3500名獨立研究人員合作。綜觀 ZDI 所取得的漏洞研究報告,Shannon Sabens 亦分享了4項當前漏洞趨勢(1)企業軟體的漏洞數量持續上升, (2)資料採集與監控系統(Supervisory Control And Data Acquisition, SCADA)漏洞隨著物聯網的應用,被關注比例也因此提高, (3)瀏覽器上的即時編譯器(Just-in-Time, JIT)弱點成為新的使用已釋放記憶體(Use-After-Free, UAF)的漏洞,駭客得以入侵執行惡意程式進行不法行為, 以及(4)虛擬化軟體漏洞的浮現趨勢。除了漏洞趨勢分析,ZDI也希望藉由揭露更多漏洞報告,促使供應商加速更新修護程式,以減少駭客的不肖利用,提升企業資訊安全。
擁抱數位轉型!企業應導入防禦方案,啟動全面性的資安防護
CLOUDSEC 2018企業資安高峰論壇現場展示了針對金融產業、製造產業及政府部門三大產業的資安情境提出解決方案;亦規劃了有如親臨實境的 VR 資訊安全戰情室體驗,讓資安管理人員可快速按照企業重視議題獲得監控與交叉分析資料,透過 VR 畫面呈現可更直覺的獲得企業內正發生及潛在的威脅資訊,評估危險等級以及優先處理程序,即時通報相關部門負責人,啟動最即時的防護機制以消除或防範潛在攻擊威脅。
在物聯網趨勢下,企業實體與虛擬裝置以及雲端互相串聯,在追求連網便利與彈性的同時,任何產業皆可能因企業員工不慎或是駭客攻擊,成為駭客攻擊的受駭者,影響企業正常營運以及財物損失。趨勢科技也再次呼籲企業,在全面連網的時代下,唯有強化專業資安防禦策略,才能在數位轉型時代 Freedom to Connect,邁向產業升級。