預防成為駭客幫兇 企業員工應加強安全意識
(2013年10月8日,台北訊)隨著行動裝置越來越「智慧」,企業也善用各式科技軟體管理專案進度,使用社交軟體如Line等進行線上會議的公司也不在少數。但員工使用科技工具的同時,也應同時強化資安意識,才能避免被駭客鎖定為漏洞對象,成為隱形幫兇。日前由國際資安大廠芬安全(F-Secure)公布的最新一季全球威脅報告便指出,利用Java的漏洞攻擊就占了全球45%的比例,針對式攻擊也儼然成為駭客主要的獲利來源,新型態鎖定企業員工夾帶惡意程式的水坑式手法(watering hole)更為企業帶來損失隱憂。
芬安全大中華區總代理商翔偉資安科技營運長杜世鵬說明,企業樹大招風,一旦入侵成功,獲利相當可觀,這也讓APT針對式攻擊成為組織主要的資安風險,但組織或公司也不會坐以待斃,除了專業的IT部門做為後盾外,也多半會裝設資安防護系統軟體,確保公司的安全防護系統足以抵擋外部攻擊。但即便軟硬體皆做了最佳準備,仍難以深入所有員工的行動裝置,或是控管行為(如上網瀏覽的頁面),有些企業更嚴謹的全面管控公司網路,但現今網路科技越發方便,就算禁止員工上某些網站,也無法全面性防範,包含每台電腦裡應用程式的修補漏洞紮實度,這也讓駭客有機會找到入侵的漏洞,尤其喜歡透過誘導或釣魚的方式,只要員工一不慎,便直接成為駭客幫兇。水坑式攻擊最常利用網頁漏洞埋伏其中,無論是之前的Java或是IE漏洞都提供了駭客大好機會,駭客在網站伺服器後植入惡意程式,只要使用者造訪該網頁,電腦就會自動下載並安裝,甚至為了要躲避資安人員的管控,降低戒心,有駭客直接埋伏在企業福利網,或是入侵公司行政、人資員工的系統或郵箱,發送含有釣魚網站或是病毒的信件給全公司。雖然網站開發商以及應用程式開發商在發現漏洞時都盡快推出更新版本,但只要用戶沒有即時更新,感染機率仍偏高。