趨勢科技在臺公布2020資安預測，BEC詐騙、IoT攻擊手法更複雜

對於即將到來的2020年，趨勢科技在11月發布下一年的資安預測報告，他們根據複雜、暴露、配置錯誤與防禦性這四大面向，列出未來要注意的17個安全議題。近日，臺灣趨勢科技在一場活動上，公布他們從此報告整理出的資安威脅重點。

趨勢科技臺灣區暨香港區總經理洪偉淦表示，從整體威脅來看，雖然許多新的科技正被討論，不過，現行主要面對的還是傳統環境之下的威脅。他指出，近年時常談及的勒索軟體、APT攻擊並未減緩，但攻擊手法會變得更複雜，勒索軟體攻擊也成常態，而在IoT與5G的發展之下，新的資安挑戰也將隨之出現，此外，由於企業雲端使用比例提升，錯誤設定所引發的資料外洩事件，將會更為普遍。

由AI驅動的詐騙將大幅提高

對於企業而言，有那些是2020年國內要重視的資安議題呢？在趨勢科技的預測報告中，最受注目的資安威脅，就是AI所帶來的風險。趨勢科技資深技術顧問簡勝財表示，過去釣魚與詐騙的威脅持續增加，現在攻擊手法將變得更加複雜，而利用AI技術，所進行的深度偽造與詐騙，就是一大威脅。

例如，過去帶來龐大損失的商業電子郵件詐騙（BEC），透過電子郵件就能達到目的，而隨著AI技術的進步，今年已有透過假冒語音的攻擊案例。舉例來說，如果駭客透過AI模擬聲音與影像來詐騙，日後財務人員接到假冒的視訊電話，看得到對方貌似老闆的臉，聲音也很熟悉，當「老闆」發出命令要人員執行，這時，依照駭客指示去匯款的機率將會非常之高。而且，駭客要取得高階主管的語音與影像，其實不難，透過網路上搜尋就找得到。

隨著AI技術的進步，趨勢科技在2020年資安威脅的預測報告中，更是提醒企業要注意駭客利用AI技術的深度偽造與詐騙，將更有機會讓一般企業財務人員中招。（攝影／羅正漢）

家中IoT設備將成企業風險

在物聯網IoT的議題方面，去年趨勢科技曾提到家中連網裝置的風險，可能發生從員工家用網路進入企業網路的案例，今年報告中，則指出遠端在家工作型態的問題。對此，簡勝財說明，許多駭客利用家中的IoT設備，進行勒索、詐騙與企業間諜活動情境。例如，駭客將可能從這類設備，取得一般民眾的聲音與影像，若搭配過去用於假裝綁架企業老闆，或親人的電話詐騙手法，屆時將可傳送影音檔，要脅企業或家人付贖金。他表示，這種攻擊不一定會出現，但有可能被拿來做其他或後續的詐騙。

不僅如此，用戶所使用的家用路由器，遭駭客綁架的行為也要特別注意。由於駭客可能利用安全性漏洞、弱密碼與預設密碼，來取得控制權，進而修改DNS Server設定。這將讓用戶連上某一網站時，將會先連到駭客架設的DNS Server，經過DNS解析，至另一個假冒的網站，這使用戶無法從網址列辨別已連至釣魚網站。簡勝財強調，目前駭客已經建立了DNS轉址的全套服務，這代表此類地下經濟活動已然成形。

而且，由於員工回到家裡可能還會繼續辦公，當這些IoT設備遭駭客掌控，更是增加了駭客竊取企業情資，與網路釣魚勒索的機會，像是駭客將可能運用AI及語音辨識技術，進而取得與企業有關的商業資訊。

可蠕蟲化漏洞將成駭客更常利用目標，雲端錯誤設定問題更常見

從漏洞攻擊與雲端安全這兩大面向來看，趨勢科技也提到2020年的變化。例如，駭客將更常利用可蠕蟲化的漏洞，發動攻擊，而2019年微軟公布的BlueKeep弱點，就是一例，他們認為，駭客將會利用BlueKeep這類可蠕蟲化的漏洞，製作蠕蟲病毒，更易造成快速擴散，以及大量感染。因此，BlueKeep漏洞將更廣泛被駭客利用。

因此，企業若要防止受到此類惡意軟體的攻擊，他們建議，企業應定期進行漏洞和風險評估，並採取預防措施，包括針對具有系統存取權限的供應商與員工，進行徹底檢查。

在雲端安全方面中，隨著使用外部雲端管理服務的作法，在企業組織接受度越來越高，然而，近年發生許多相關的資安事件已經帶來警惕，尤其是雲端配置錯誤所引發的資料外洩事件，他們認為，這類情形將會變得更為普遍。

對此，簡勝財引用Gartner在2019年11月發布的雲端服務營收報告，指出2020年時，預估雲端服務營收將較今年成長17%，他表示，隨著雲端的採用率越來越高，風險也相對升高。因此，企業更要注意相關雲端安全問題，包括設定適當存取及權限的管控，以及注意異常登入活動等。此外，要注意反序列化（Deserialization）漏洞的程式碼注入手法，駭客可直接攻擊雲端服務商，或是侵入第三方廠商程式庫，竊取企業資料。

不僅如此，還包括DevOps與Serverless相關的安全議題。簡勝財解釋，隨著雲端服務採用的比例增加，也會有越來越多人採用DevOps的開發模式，但在快速交付之下，很可能壓縮到安全相關測試的時間。

再者，對於開發過程中所使用的Container、Serverless、Orchestrator，以及Build環境，如果本身就具有弱點，更是企業的挑戰，例如，今年容器執行元件runC，就被發現含有弱點。此外，開發人員很常在網路上尋找Container映像檔，但若是這些映像檔，本身就不安全，或是來路不明，這其實就意味著，Container執行時就可能已有木馬或病毒，因此企業用戶要特別注意。

隨著雲端應用採用率越來越高，趨勢預測2020年雲端配置錯誤所引發的資料外洩事件，也會隨之上升，對此，企業須更重視雲端安全問題，包括設定適當存取及權限管控。（攝影／羅正漢）

金融領域需注意Open API，以及ATM惡意程式

特別的是，在這次的預測報告中，趨勢科技也對金融領域提出多項警告，他們指出對於開放銀行與支付系統的手機惡意軟體的攻擊，將更加升溫，而且，也要關注ATM惡意軟體的新動向。

在此方面，手機病毒仍是網路銀行的重大威脅，簡勝財表示，包括用戶的雙重認證簡訊被攔截，木馬程式採螢幕覆蓋的攻擊手法，以及竊取用戶帳密與信用卡號等，都已有案例發生。更受大眾關注的是，今年金管會宣布開放銀行施行，簡勝財指出，這代表銀行要提供API，讓第三方服務廠商App能呼叫與查詢，但是，如果API或App存在弱點，就會面臨很大的風險。

此外，趨勢科技還觀察到，近來ATM惡意程式已在暗網流通銷售，因此不再像過去只是特定駭客團體會發動攻擊，銀行業者勢必要更加注意。

需留意5G、CI與OT等面向的威脅上升態勢

對於更多2020年可能出現或上升的威脅，簡勝財也逐一說明，例如，5G安全就是新焦點，由於其軟體定義網路的特性，以及引進更多IoT設備與新興服務所衍生的弱點問題，將可能引發額外的風險。

關於關鍵基礎設施（CI）與OT網路設備所面臨的威脅，也是趨勢科技強調的部分。這些面向將持續成為駭客勒索的目標，例如，發動勒索軟體攻擊，或是DDoS攻擊。他們並預料，公共設施將比私人企業環境，更容易遭受攻擊。

面對不斷演變的資安威脅環境，近日臺灣趨勢科技公布2020年的資安預測趨勢，趨勢科技資深技術顧問簡勝財從預測報告挑出數個重點，包括AI偽冒詐騙、系統漏洞攻擊、雲端風險升高，以及家用物聯網興起造成資安風險範圍擴大，有多個面向的變化。（圖片來源：趨勢科技）

在上述資安預測之外，事實上，趨勢科技2020資安預測報告中，還有不少值得關注的重點，但這次活動上，臺灣趨勢科技並沒有提到這些內容，例如，服務供應商將遭受惡意軟體與供應鏈攻擊，以及MITRE ATT＆CK框架，將在企業評估安全上發揮更大作用等預測。對此，趨勢科技大型企業客戶部資深專案經理黃旭堃表示，其實這次報告中的每項預測，都有其重要性。在我們進一步的詢問下，他表示，以供應鏈安全的資安風險而言，近年趨勢科技已經時常提到，所以，這次他們指出管理服務供應商（MSP），將會是更要注意的目標對象；至於MITRE ATT＆CK，對於企業防護而言，這兩年確實是越來越受到關注，他們也注意到，有更多企業開始參考這樣的框架，並懂得詢問，以了解資安產品所對應的防護範圍等。