APP下载

2019资安预测趋势提七大重点:资料外泄通报与网络钓鱼将大增

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息2019资安预测趋势提七大重点:资料外泄通报与网络钓鱼将大增
图片来源: 

趋势科技

网络威胁不断演进与变化,每年都有资安业者发布新一年度的预测,提醒我们该注意的威胁面向。随着2019年的到来,对于网络犯罪集团的全球攻击态势,以及当前新兴科技的演变而引起的风险,趋势科技在2018年底发布了2019年资安预测报告,即针对新兴科技、威胁情势与使用者行为来分析,当中有七大重点警示值得关注。

简单来说,趋势预测报告提出的七大重点警示,包括:帐密填充攻击、网络钓鱼案例与商业电子邮件诈骗,他们都预测会变得更多,而ICS工业控制系统的攻击威胁也将持续攀升,此外还有员工在家工作与家用连网装置衍生的风险议题,GDPR的法规遵循,以及自动化将提高商业流程入侵的风险,都必须注意。

基本上,在趋势这份预测报告之中,其实是分成了七大领域来讨论,分别是消费者、企业、政府机关、资安产业、工业控制系统、云端基础架构与智慧家庭。不过,就上述七大资安警示而言,其实都是聚焦在企业、消费者与工业控制系统,因此,接下来我们也针对这3大领域的预测项目进一步介绍。

将有企业遭GDPR重罚的案例,预期资料外泄通报数量超过去年

对于企业而言,2019年需要关注的面向并不少,最受注目的,就是在2018年通过的欧盟GDPR,对于个资外泄的严格保护,趋势认为,2019年将可能出现第一个大型违规案件,处以年营业额4%的最高罚锾,目的是为了杀一儆百。同时,也因为GDPR的法规要求,关于资料外泄的通报案件数量,在新一年度预期会变得更多。而且,Google对于2019年的预测也是如此。

较特别的是,报告中提到将有越来越多攻击锁定员工家中连上互联网的装置,并认为这样的威胁,与过去个人在企业使用自身装置(BYOD)的资安风险类似。

在这项预测中,引述了Gallup与Polycom的报告与调查,指出美国在2017年有将近三分之二的员工,善于利用“弹性上班地点”的政策,另一方面,趋势研究人员也证明家中的智慧喇叭,也会带来外泄资料的风险,而在两大趋势的交互影响之下,他们预期,在2019年将出现针对智慧喇叭的弱点,从员工家用网络进入企业网络的案例。

关于家中连网装置可能带来资料外泄的风险,在过去趋势谈IoT内建安全防护不足的报告中,已经做出提醒,而在这次2019年的资安预测中,他们也认为将有锁定智慧喇叭,从员工家用网络进入企业网络的案例会发生。(图片来源:趋势科技)

不仅如此,这几年来,持续为企业带来钜额损失的商业电子邮件诈骗(简称BEC诈骗),仍然是需要关注的焦点。报告中指出,由于高阶主管遭到BEC诈骗的新闻常曝光于媒体,因此,网络犯罪集团在手法上可能会有些变化,改为锁定秘书、助理,或者是财务部门总监、经理等职务的人,也就是比CXO高层主管低两个位阶的职员。

此外,窜改企业流程的商业流程入侵(Business Process Compromise,BPC),也将随着办公自动化的兴起,成为企业要面对的新挑战。趋势也引述了市场研究机构Forrester的预测,表示企业自动化在2019年将造成10%的人力工作被取代,这也说明了自动化的应用将更高,但自动化软件本身的漏洞,或是与现有系统整合,以及企业供应商的面向,将可能形成新的资安缺口。

此外,针对使用者的网络钓鱼攻击,趋势预测将越来越多,因此他们也提醒,留意犯罪集团运用运动或政治等时事,从企业员工的社群媒体账号下手,以挖掘出更多关于员工的资讯,借此发动网络钓鱼攻击。

针对账号密码的攻击将更多,一般民众不可轻忽

从消费者面向来看,最受关注的威胁变化,有两个最重要,一是网络钓鱼案例在2019年将大幅增加,成为网络犯罪者的主要攻击管道,另一是账户资料外泄,遭盗用诈骗事件将不断增加,需注意自动化的帐密填充攻击。

网络钓鱼威胁再攀升

以网络钓鱼的威胁态势而言,根据趋势统计,他们拦截的网络钓鱼相关网址数量,不仅是逐年攀升,并从2017年的7千3百万个,到了2018年的2亿1千万个,成长3倍,因此他们认为2019年还会更高。

相对的,使用漏洞攻击套件的手法,则是逐年减少,多转变成社交工程网络钓鱼。根据趋势拦截的漏洞攻击套件活动,从2017年的1百万次,2018年更是降到只有26万次。

趋势也进一步解释,过去漏洞攻击套件之所以盛行,因为能自动根据受害者的软件版本,来判断该利用哪一个漏洞进行攻击。不过随着Windows系统市占降低,网络犯罪集团针对不同系统族群开发漏洞攻击套件变得费时,还要面临厂商更新修补的情况,因此,社交工程网络钓鱼这种持续有效性的伎俩,将是网络犯罪者更倾向采用的方式。

值得关注的是,趋势也特别指出,网络犯罪者不仅是使用电子邮件进行网络钓鱼,也会透过手机简讯和即时通讯。对于社交工程诈骗的内容,趋势科技也提醒,需注意歹徒用运动赛事或政治事件等时事来吸引。

较特别的是,新的SIM卡劫持(SIM-jacking)攻击,更是他们认为相当仰赖的社交工程手法。

简单来说,SIM卡劫持是有歹徒假冒用户本人名义,向电信公司谎称自己的SIM卡遗失,申办新的SIM卡,由于许多网络账号与移动电话连结,成为接收双因素认证的管道,歹徒便能够藉以登入受害者的社交网站或其它账号。

不过,这里提到的是国外的案例,报告中并没有提及台湾环境的差异。就我们的观察,国内电信业者在SIM卡遗失及转换的处理,通常需要临柜双证件申办,这表示有心份子若要伪造双证件,难度较高。不过,除了电信业者,国内金融业者也要注意,像是之前警政署曾破获网络银行盗转案,是先窃取用户云端资料掌握个资,再假冒被害人拨打电话给银行客服,以变更存户联络电话,而这样的例子则突显出,金融业在以电话确认本人时,仅依靠个人资料,突显出静态资料确认的流程可能存在瑕疵,尽管目前已有声纹辨识等技术应用,但还不普及。

注意帐密填充攻击

另一个使用者要关注的是,账户资料外泄所衍生的问题,趋势特别引用了Ponemon Institute与Akamai的报告内容,指出帐密填充攻击(Credential Stuffing)越来越严重,这指的就是一般所谓的撞库攻击手法,会利用大量外流的电子邮件地址和密码,并透过自动化的方式来尝试入侵。

由于过去所曾发生多次大规模资料外泄事件,且不少使用者习惯在不同网站上,使用相同的账号密码,因此,趋势认为网络上将出现犯罪集团大规模运用外泄账号密码的实际案例。

在帐密填充攻击的威胁之外,2019年还有一些要注意的攻击手法,例如,网络犯罪集团借由入侵网络红人的社群媒体账号,借此执行水坑式攻击,借由追随者的管道以及粉丝信任的心理,散布恶意程式;利用聊天机器人来执行的诈骗攻击也要留意,互动式语音应答的电话诈骗也会更进步。

此外,青少年也要注意非钱财的勒索方式,而性勒索(Sextortion)就是一例,例如透过网络聊天室等途径取得被害人传送的私密照,借此要胁被害人,在趋势的参考资料中,也举出3起因性勒索而自杀的新闻事件,并指出这类攻击将在2019危害更多生命。

工业控制系统漏洞被关注比例提升

关于工业控制系统的威胁方面,也是趋势强调的部分。他们也引用了旗下ZDI漏洞悬赏计划的资料,指出工业控制系统中,有很大一部分的漏洞是出现在管理SCADA系统软件的HMI(Human Machine Interface),并预期2019年将有更多关于HMI的漏洞被揭露。同时,趋势也指出一些根本性的问题,例如,这类HMI软件并不像微软和Adobe的软件,受到严密保护,也不如大众所想像,运作在独立隔离的环境。

其次,由于一些国家为了培养及锻炼网络攻防技巧,会针对较小国家的关键基础架构,来当成攻击对象,这也促使针对ICS的攻击,成为一项日益严重的问题。

2019-01-07 14:35:00

相关文章