對於即將到來的2020年,趨勢科技在11月發布下一年的資安預測報告,他們根據複雜、暴露、配置錯誤與防禦性這四大面向,列出未來要注意的17個安全議題。近日,臺灣趨勢科技在一場活動上,公布他們從此報告整理出的資安威脅重點。

趨勢科技臺灣區暨香港區總經理洪偉淦表示,從整體威脅來看,雖然許多新的科技正被討論,不過,現行主要面對的還是傳統環境之下的威脅。他指出,近年時常談及的勒索軟體、APT攻擊並未減緩,但攻擊手法會變得更複雜,勒索軟體攻擊也成常態,而在IoT與5G的發展之下,新的資安挑戰也將隨之出現,此外,由於企業雲端使用比例提升,錯誤設定所引發的資料外洩事件,將會更為普遍。

由AI驅動的詐騙將大幅提高

對於企業而言,有那些是2020年國內要重視的資安議題呢?在趨勢科技的預測報告中,最受注目的資安威脅,就是AI所帶來的風險。趨勢科技資深技術顧問簡勝財表示,過去釣魚與詐騙的威脅持續增加,現在攻擊手法將變得更加複雜,而利用AI技術,所進行的深度偽造與詐騙,就是一大威脅。

例如,過去帶來龐大損失的商業電子郵件詐騙(BEC),透過電子郵件就能達到目的,而隨著AI技術的進步,今年已有透過假冒語音的攻擊案例。舉例來說,如果駭客透過AI模擬聲音與影像來詐騙,日後財務人員接到假冒的視訊電話,看得到對方貌似老闆的臉,聲音也很熟悉,當「老闆」發出命令要人員執行,這時,依照駭客指示去匯款的機率將會非常之高。而且,駭客要取得高階主管的語音與影像,其實不難,透過網路上搜尋就找得到。

隨著AI技術的進步,趨勢科技在2020年資安威脅的預測報告中,更是提醒企業要注意駭客利用AI技術的深度偽造與詐騙,將更有機會讓一般企業財務人員中招。(攝影/羅正漢)

家中IoT設備將成企業風險

在物聯網IoT的議題方面,去年趨勢科技曾提到家中連網裝置的風險,可能發生從員工家用網路進入企業網路的案例,今年報告中,則指出遠端在家工作型態的問題。對此,簡勝財說明,許多駭客利用家中的IoT設備,進行勒索、詐騙與企業間諜活動情境。例如,駭客將可能從這類設備,取得一般民眾的聲音與影像,若搭配過去用於假裝綁架企業老闆,或親人的電話詐騙手法,屆時將可傳送影音檔,要脅企業或家人付贖金。他表示,這種攻擊不一定會出現,但有可能被拿來做其他或後續的詐騙。

不僅如此,用戶所使用的家用路由器,遭駭客綁架的行為也要特別注意。由於駭客可能利用安全性漏洞、弱密碼與預設密碼,來取得控制權,進而修改DNS Server設定。這將讓用戶連上某一網站時,將會先連到駭客架設的DNS Server,經過DNS解析,至另一個假冒的網站,這使用戶無法從網址列辨別已連至釣魚網站。簡勝財強調,目前駭客已經建立了DNS轉址的全套服務,這代表此類地下經濟活動已然成形。

而且,由於員工回到家裡可能還會繼續辦公,當這些IoT設備遭駭客掌控,更是增加了駭客竊取企業情資,與網路釣魚勒索的機會,像是駭客將可能運用AI及語音辨識技術,進而取得與企業有關的商業資訊。

可蠕蟲化漏洞將成駭客更常利用目標,雲端錯誤設定問題更常見

從漏洞攻擊與雲端安全這兩大面向來看,趨勢科技也提到2020年的變化。例如,駭客將更常利用可蠕蟲化的漏洞,發動攻擊,而2019年微軟公布的BlueKeep弱點,就是一例,他們認為,駭客將會利用BlueKeep這類可蠕蟲化的漏洞,製作蠕蟲病毒,更易造成快速擴散,以及大量感染。因此,BlueKeep漏洞將更廣泛被駭客利用。

因此,企業若要防止受到此類惡意軟體的攻擊,他們建議,企業應定期進行漏洞和風險評估,並採取預防措施,包括針對具有系統存取權限的供應商與員工,進行徹底檢查。

在雲端安全方面中,隨著使用外部雲端管理服務的作法,在企業組織接受度越來越高,然而,近年發生許多相關的資安事件已經帶來警惕,尤其是雲端配置錯誤所引發的資料外洩事件,他們認為,這類情形將會變得更為普遍。

對此,簡勝財引用Gartner在2019年11月發布的雲端服務營收報告,指出2020年時,預估雲端服務營收將較今年成長17%,他表示,隨著雲端的採用率越來越高,風險也相對升高。因此,企業更要注意相關雲端安全問題,包括設定適當存取及權限的管控,以及注意異常登入活動等。此外,要注意反序列化(Deserialization)漏洞的程式碼注入手法,駭客可直接攻擊雲端服務商,或是侵入第三方廠商程式庫,竊取企業資料。

不僅如此,還包括DevOps與Serverless相關的安全議題。簡勝財解釋,隨著雲端服務採用的比例增加,也會有越來越多人採用DevOps的開發模式,但在快速交付之下,很可能壓縮到安全相關測試的時間。

再者,對於開發過程中所使用的Container、Serverless、Orchestrator,以及Build環境,如果本身就具有弱點,更是企業的挑戰,例如,今年容器執行元件runC,就被發現含有弱點。此外,開發人員很常在網路上尋找Container映像檔,但若是這些映像檔,本身就不安全,或是來路不明,這其實就意味著,Container執行時就可能已有木馬或病毒,因此企業用戶要特別注意。

隨著雲端應用採用率越來越高,趨勢預測2020年雲端配置錯誤所引發的資料外洩事件,也會隨之上升,對此,企業須更重視雲端安全問題,包括設定適當存取及權限管控。(攝影/羅正漢)

金融領域需注意Open API,以及ATM惡意程式

特別的是,在這次的預測報告中,趨勢科技也對金融領域提出多項警告,他們指出對於開放銀行與支付系統的手機惡意軟體的攻擊,將更加升溫,而且,也要關注ATM惡意軟體的新動向。

在此方面,手機病毒仍是網路銀行的重大威脅,簡勝財表示,包括用戶的雙重認證簡訊被攔截,木馬程式採螢幕覆蓋的攻擊手法,以及竊取用戶帳密與信用卡號等,都已有案例發生。更受大眾關注的是,今年金管會宣布開放銀行施行,簡勝財指出,這代表銀行要提供API,讓第三方服務廠商App能呼叫與查詢,但是,如果API或App存在弱點,就會面臨很大的風險。

此外,趨勢科技還觀察到,近來ATM惡意程式已在暗網流通銷售,因此不再像過去只是特定駭客團體會發動攻擊,銀行業者勢必要更加注意。

需留意5G、CI與OT等面向的威脅上升態勢

對於更多2020年可能出現或上升的威脅,簡勝財也逐一說明,例如,5G安全就是新焦點,由於其軟體定義網路的特性,以及引進更多IoT設備與新興服務所衍生的弱點問題,將可能引發額外的風險。

關於關鍵基礎設施(CI)與OT網路設備所面臨的威脅,也是趨勢科技強調的部分。這些面向將持續成為駭客勒索的目標,例如,發動勒索軟體攻擊,或是DDoS攻擊。他們並預料,公共設施將比私人企業環境,更容易遭受攻擊。

面對不斷演變的資安威脅環境,近日臺灣趨勢科技公布2020年的資安預測趨勢,趨勢科技資深技術顧問簡勝財從預測報告挑出數個重點,包括AI偽冒詐騙、系統漏洞攻擊、雲端風險升高,以及家用物聯網興起造成資安風險範圍擴大,有多個面向的變化。(圖片來源:趨勢科技)

在上述資安預測之外,事實上,趨勢科技2020資安預測報告中,還有不少值得關注的重點,但這次活動上,臺灣趨勢科技並沒有提到這些內容,例如,服務供應商將遭受惡意軟體與供應鏈攻擊,以及MITRE ATT&CK框架,將在企業評估安全上發揮更大作用等預測。對此,趨勢科技大型企業客戶部資深專案經理黃旭堃表示,其實這次報告中的每項預測,都有其重要性。在我們進一步的詢問下,他表示,以供應鏈安全的資安風險而言,近年趨勢科技已經時常提到,所以,這次他們指出管理服務供應商(MSP),將會是更要注意的目標對象;至於MITRE ATT&CK,對於企業防護而言,這兩年確實是越來越受到關注,他們也注意到,有更多企業開始參考這樣的框架,並懂得詢問,以了解資安產品所對應的防護範圍等。


Advertisement

更多 iThome相關內容