Palo Alto提2019網路安全5大預測，電郵詐騙與供應鏈攻擊成焦點

從持續惡化的網路攻擊局勢，到即將制定的資安法規，新一年度的資安局勢變化，是企業持續在關注的焦點。近期，網路安全業者Palo Alto Networks，提出了2019年網路安全趨勢預測，同時他們的亞太區資安長Kevin O’Leary，也在臺向我們說明這些威脅的發展與因應之道。

對於企業而言，2019年值得關注的安全議題有哪些？今年Palo Alto Networks舉出了五大重點，包括：商業電子郵件詐騙（BEC詐騙）的威脅、供應鏈的攻擊，此外還有資料保護立法的發展，更為普及的多雲應用讓安全性變得複雜，以及關鍵基礎設施的重要性，都是值得關注的面向。Kevin O’Leary強調，在這些網路攻擊當中，有一部份已經化為事實，有些是正在發生或可能發生，他們透過這次的年度預測，藉此找出未來必須防範的環節。

近年電子郵件的安全問題，備受各方關注，尤其是危害全球企業極大的BEC詐騙

以Palo Alto Networks的五大預測面向中，最受注目的就是，全球企業不斷蒙受商務電子郵件詐騙之害，而FBI在這五年來已經不斷警告，他們統計到的損失就已經超過120億美元。Palo Alto指出，企業環境的用戶帳密與登入資料竊盜事件，以及偽裝成企業夥伴或內部人員，要求更改匯款銀行帳號的案例，變得越來越多，不僅如此，從偽造公司網站，到瞄準員工社交媒體帳號的手法來看，攻擊者使用的手法也越來越多樣化，並且狡猾。企業能否在2019年因應這些威脅，就是焦點。

對此，Palo Alto建議，企業應審視內部資訊流程，特別是在檢查與核准方面。同時他們也在關注身份識別的安全問題，並預測雙因素認證、與生物驗證將在2019年開始普及。

值得注意的是，過往這樣的威脅大多是郵件安全廠商在關注，今年Palo Alto竟也列為五大預測中的第一重點，這也突顯了近期的電子郵件安全問題，備受各方關注。

其實，在去年12月底，Palo Alto Networks旗下網路威脅情報研究團隊Unit 42，曾經公布3項2019的網路威脅趨勢，當中就有兩項與電子郵件安全相關，一是提到商業電子郵件詐騙的增加，另一是更多電子郵件攻擊使用惡意的巨集程式碼。

對於駭客利用電子郵件發動的各式威脅，Kevin O’Leary在現場也提出一個觀點，因為有些公司會將員工當成風險看待，他認為這樣的觀念必須扭轉，應該要將員工當成受害者，企業要去保護。

此外，BEC詐騙對於臺灣的危害也不少，近年我們不時看到刑事警察局公布電子郵件詐騙案，持續提醒國內貿易公司，要注意這樣的網路攻擊手法。

注意供應鏈的攻擊，以及資料保護立法的態勢

關於供應鏈攻擊的態勢，將成企業防護上的新缺口，成為第二個企業該注意的面向。在全球數位化的今日，企業不論是尋找供應商和委外服務，或是在資訊連結上，都獲得很大的便利性，但安全問題也不容忽視。根據Palo Alto的說明，這將讓投機型攻擊者有機可趁，而這樣的風險在醫療領域已經變得更加明顯。他們也舉例說明，像是第三方廠商連接的醫學設備，如MRI、X光機，由於每天都會接在內部網路，這也就增加了攻擊面與漏洞問題，讓醫院無法掌控。

由於有許多不安全的裝置，連接到企業網路，儘管企業可能無法避免這樣的情形，不過Palo Alto建議，企業可以在採購這些裝置或服務時，注意相關安全標準，並要確保韌體更新，且不要使用預設密碼與弱密碼。同時，也應仔細檢查網路中的流量，確保敏感資訊與外部隔離。

對於鎖定供應鏈的攻擊方式，Kevin O’Leary表示，這種攻擊駭入的不是企業本身，而是從企業包商下手，進而傷害到企業，這在2018年已經有不少案例，因此，他認為2019年會繼續看到這樣的網路攻擊發生。

同時，Kevin O’Leary指出，臺灣製造業在全球供應鏈中其實扮演者重要的角色，因此這樣的問題更是與臺灣息息相關。他也舉例，像是企業使用ERP來管理供應鏈，而現在有許多外包的情況，第三方夥伴也需要納入一併管理。

另一個企業要關注的是，是在資安相關的法規層面。隨著全球各國都開始警覺到，國家安全與民眾資料保護的迫切性，個資保護立法在亞太地區也日漸成熟，包括臺灣的政府，都開始透過立法的方式，去強制要求企業保護他們客戶的資料，而且有些國家會要求資料的主權性，就是要求資料需存放在國境之內保存。而臺灣最新的「資通安全管理法」，也在今年1月1日正式上路。

要注意的是，這對於跨國公司則將有很大的跳戰。由於各國在個資保護法的進度不一，雖然法律規範有相似之處，但仍有差異，因此，與全球接軌的臺灣企業必須要知道，各地的個資保護法有什麼不同。

關於多雲應用的安全性議題，以及關鍵基礎設施的防護，也不可輕忽

第四個面向是在雲端應用方面，隨著雲端已成為企業提供新產品與服務的彈性資源，Palo Alto認為，多雲應用將在2019年更為普遍，而相應的挑戰也將隨之而來。

由於雲端安全性並不只是雲服務供應商的責任，使用的企業也將有其權利與責任，這也使得安全性問題變得更加複雜，對此，Kevin O’Leary表示，希望能找到一個共通的方法，讓企業不論是在AWS、Azure等不同平臺上，都能獲得同樣的保護，而雲端資安廠商與企業本身，也也要能找出一個可共享的模式，來解決這樣的問題。

此外，還有像有一些面向值得注意，例如，隨著DevOps協助加速開發的潮流，在安全性的建立與維護上，也可能面對挑戰，同時他們也提醒，傳統單功能的資安產品，已經不足以面對大量增加且複雜的網路攻擊，如要降低網路風險，必須建立整合、自動化且有效的控制，以便能夠在攻擊生命週期的每一階段，進行偵測和預防已知與未知威脅。關於這一部份，也是Palo Alto不斷在努力的目標。

去年12月，Palo Alto Network威脅情報團隊Unit 42，也曾發布雲安全趨勢的五大關鍵，當中提到：賬戶入侵的規模與速度上升、挖礦劫持逐漸降溫、關於組態設定風險需持續注意、漏洞管理的必要性，以及應為容器模式提供保護。

此外，在這項預測中，關鍵基礎設施的重要性也是Palo Alto所強調的部分。事實上，我們在多家資安業者發布的2019威脅預測中，都有提到這一點。

從關鍵基礎設施的涵蓋範圍來看，在能源、水、公共運輸領域之外，也擴及到金融服務、電信與媒體。一旦這些設施受到影響，後果都相當嚴重，風險程度僅次於天然災害和極端氣候。

但是，隨著關鍵基礎設施邁向數位轉型，以及自動化的浪潮，設備間彼此相連，並連上了網際網路，將更容易成為網路犯罪者的目標。對此，Kevin O’Leary表示，這並非說數位轉型不好，因為這其實對真實世界有很大的好處，只是在轉型的過程中，也應做好防護。對此，Palo Alto也提供了一些建議，例如，必須建置Zero Trust系統，並確保隔離的存取，同時提醒，對於關鍵基礎設施的設計與維護，必須從安全第一為考量，而不要只以法規遵循為本而行事。

最後，在企業面對以上種種挑戰之外，Kevin O’Leary要強調與提醒的是，對於人、流程、與科技這三大要素，都要能夠一視同仁的去重視。他解釋，要讓科技確實發揮作用，必須要有人去確保，以及好的流程配合，在發生問題時，也要有措施能應對。