趋势科技发布2019年网络安全年度预测报告,针对网络安全威胁与网络犯罪攻击趋势,提出三大重点警示:凭证数据外泄遭盗用诈骗事件将不断增加、网络钓鱼攻击手段将取代漏洞攻击套件成为主要攻击手法以及工控系统的安全性持续受到威胁。
趋势科技台湾区暨香港区总经理洪伟淦表示:“回顾今年全球网络安全策略推动,可观察到各组织及企业对于数据安全的重视; 重大网络安全事件的发生也凸显联网设备普及所面临的问题。预期在2019年企业和组织将导入更多联网设备,而联网速度也将大幅提升,信息安全将面临更广泛与多样的挑战。”
凭证填充攻击(Credential Stuffing)是一种利用僵尸网络(Botnet)大军,使用大量外流的电子邮件地址和密码,自动化地以疲劳轰炸的方式不断试图登录各大热门网站的攻击方式。根据美国波耐蒙研究所(Ponemon Institute) 与阿卡迈科技公司(Akamai Technologies)凭证填充攻击报告指出,凭证填充攻击事件与严重性将持续加深。过去几年来的数据外泄事件后续影响,加上人们在各大网络服务上重复使用相同密码的习惯,趋势科技团队预测2019年将有更多运用凭证的诈骗交易。
此种攻击对于消费者所造成的直接影响可能出现在信用卡里程累积反馈盗用,甚至个人社群帐号遭入侵利用散播恶意评论等;而在企业端方面,除了业务运营受到波及与商誉受损,甚至可能因未善全部据保护义务,触犯法规而遭受罚锾处分。趋势科技网络安全预测报告进一步指出,2019年可以观察到以获利为目的的网络犯罪者将利用欧盟最严格的GDPR (针对未遵守法规之企业处以2 千万欧元,约新台币7亿元或全球总营业额4%的罚锾),借此对企业展开攻击窃取数据,借此勒索高额赎金。
在现今多样设备以及操作系统趋势下,黑客将不再通过以往单一软件系统层面的漏洞攻击套件模式,转而利用社交工程广布式地进行网络钓鱼攻击。截至今年第三季,趋势科技 Smart Protection Network 已阻挡超过2亿多笔网络钓鱼相关的 URL,相较于2017年增长接近三倍;预期2019年会再创高点。
而有别于以往伪造企业往来信件格式的手法,黑客将通过窃取员工社群网络上的信息,提高网络钓鱼诈骗信件的可信度,达到入侵企业的目的;消费者方面,除了抓住大众对重大活动的好奇心,通过如2020东京奥运的时事议题来进行社交工程诈骗之外,利用网络红人的传散能力,黑客将锁定网红的社群帐号并尝试入侵取得控制权,成为黑客进行水坑式攻击(Watering Hole)的工具,植入恶意程序的链接或是消息,骗取关注粉丝点击,使得粉丝遭牵连受黑,造成个人数据与财物损失。
报告另外指出,除了传统信件,网络钓鱼手法开始出现在手机短信以及通信帐户上,结合社交工程手法的新兴网络攻击开始出现,如SIM 卡劫持手法(SIM-jacking ):犯罪者取得个人电话号码和信息,假冒手机用户,向电信厂商技术服务人员申办新的SIM 卡,尔后通过短信访问用户的帐号数据甚至盗用电子钱包。
今日企业运营比以往更加依赖即时数据,因此ICS网络必须能与企业网络链接,而ICS 网络与各式机电组件结合,包括阀门、调节器、开关和其他机电设备,已经遍及在能源、发电、制造业及运输业等。趋势科技提及,黑客将不安全的企业网络设备当成跳板,再转移到最容易攻击的 ICS 设备和数据库,造成交通网络停摆,能源供应中断,甚至影响人身安全。
根据趋势科技ZDI 数据显示,关于SCADA 监控与数据截取系统的漏洞,有大部分比例出现在协助显示数据与接受操作人员指令的HMI 人机接口,黑客借由黑入SCADA 系统将可搜集如厂房设备配置图、关键门槛值(Critical Thresholds)以及设备设置等数据,进而从事后续攻击,除了可能造成相关运营中断,更甚者可能利用工业中的易燃物质或是重要资产以威胁生命和财产安全。
网络安全威胁的影响随着联网时代来临更加无远弗届。据趋势科技2019年网络安全预测报告显示,网络威胁者开始利用AI 发动目标式攻击,通过AI 预测判定企业管理阶层和特定对象的相关动向,进而取信周围相关人士进行入侵威胁;但与此同时,网络安全厂商也已运用人工智能仿真以侦测任何潜在的网络威胁,提供企业与消费者多层式的防护。
抵御黑客变化莫测的攻击手法,趋势科技资深技术顾问简胜财分享网络安全教战守则:“面对未来联网技术进步与跨平台联网趋势,企业不能只依靠单一的网络安全工具,应采取跨时代的威胁侦测技术,在正确的时刻采取有效的防护策略;而人们更应培养网络安全意识,对于电子邮件或是通信软件上的消息提高警觉,降低遭受网络钓鱼诈骗的风险,或可通过安装杀毒软件协助保护个人数据与交易安全,此外,除了定期更新密码,使用多重认证的帐密保护措施,以及密码管理工具以保护相关凭证信息,也可帮个人机密数据的保护。”