迎戰APT式攻擊 台灣企業整體防禦率不及日韓

(2013年12月11日,台北訊)若要票選2013年企業資安關鍵單字,「APT式攻擊」絕對會成為防護專家無異議通過的攻擊趨勢。芬安全(F-Secure)研究長米戈.希伯能(Mikko Hyppönen)今(11日)接受芬安全大中華區代理商芬安全大中華區總代理商翔偉資安科技的邀請,特地來台舉行為期兩天的資安論壇,在『風起雲湧,站在巨人肩上看2014資安網戰』論壇時提到,台灣大多數的企業或組織對於更快速、更針對性的駭客攻擊型態太掉以輕心,不但沒有全面性的資安防禦能力與概念,缺乏階段性淘汰企業使用作業系統的規劃,也讓過於老舊的作業系統成為駭客可輕鬆入侵的防護漏洞。米戈也在會中強調防駭運動因由上到下、從公領域到私人空間都應該要確保資安防護滴水不漏,才不會造成企業或個人財務上或信用上的傷害。

雲端技術成熟加上行動上網裝置的普及助長APT式攻擊
量身訂做客製化攻擊模式 駭客得手報酬率更高

米戈表示與其說是新型態攻擊倒不如說是現在快速發展的雲端技術與行動上網裝置的普及成為助長APT式攻擊發展快速的重要推手。在網路資訊開放的現在,大多數的資訊都能輕易被搜尋,尤其雲端技術漸趨成熟的現在,不管是存取資料的方便性或是儲存成本的下降,都讓越來越多的企業或個人用戶借助雲端進行資訊交換。再加上行動上網裝置的普及已經改變了今日的生活模式,多數民眾除了電腦之外,大多也會利用智慧型手機或是平板電腦輔助生活或工作上的大小事。種種因素加總後,對駭客組織而言,這些因科技進步帶來的方便性不只降低了消費者對自身資安防護的警覺心,另一方面也降低了客製化攻擊過程中的成本,過去不符合「經濟效益」的針對式攻擊,已搖身一變成為投資報酬率最高的入侵模式。

一魚多吃的斂財手法
先取得重要機密進行商業勒索 再針對使用者個資個別販售

米戈不諱言的表示,對駭客組織來說,握有愈多資源的企業愈是他們眼中的肥羊,某些駭客組織更是「吃人不吐骨頭」。一次完美的APT攻擊不只讓他們可以成功進行勒索,而企業內部的使用者個資更成為他們覬覦的珍寶。以賺錢為首要目標的駭客深知當對方面臨企業形象問題時多半希望低調處裡,因擔憂消費者喪失對於企業的信任度。利用此心裡戰術,當成功入侵內部網路,多數企業願意支付大筆金額以求自保,並藉此修補資安漏洞。但面對可重複使用/販售的使用者個資,駭客絕不會有所謂的仁義道德,必定是一併帶走且逐一利用,不管是直接售予詐騙集團,或是二度利用成為下次APT攻擊的工具,都已成為駭客組織最成功的「取金之道」。

台灣資安敏銳度待加強 老舊作業系統更助駭客得手
階段性淘汰舊系統 已成當務之急

針對台灣整體資安防禦能力,米戈也在論壇上以「學校」作為說明,教育機構雖然相較於企業或政府較不具備「付款能力」,但背後豐富的學生名單已足以吸引駭客入侵,尤其學生多半會因貪圖方便或是缺乏完備的資安防護概念,成功得手的難易度更低。能輕易在網路上搜尋到各校的教職員資訊與聯絡方式,駭客僅需客製化「山寨信件」,如某某教育論壇邀請函、某教授論文分享等內容作為誘餌,在真實文件中夾帶有駭檔案,只要校內人士缺乏警覺心,學校又缺乏完備的資安防護網,很容易就被成功入侵,即便沒有商業機密檔案,但學生的資料也已讓駭客不虛此行。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬說明,台灣在3C相關技術的成熟與優秀是國際有目共睹的,但企業對於資安防護的敏銳度相較於亞洲其他亞洲國家卻仍有待加強,尤其在作業系統的更新與汰換上,缺乏階段性且明確的淘汰機制,再加上網路普及、民眾的資安警覺心缺仍不足,很容易成為資安防護的漏洞。在會後也再次強調防駭不僅只是企業或政府的責任,因從最基本的個人資安防護做起,全面性的為所有上網設備裝置具有行為分析能力的資安軟體,對於網路上的資訊或是檔案保有防備心,自然就能降低成為駭客提款名單的機率。