趋势科技在台公布2020资安预测，BEC诈骗、IoT攻击手法更复杂

对于即将到来的2020年，趋势科技在11月发布下一年的资安预测报告，他们根据复杂、暴露、配置错误与防御性这四大面向，列出未来要注意的17个安全议题。近日，台湾趋势科技在一场活动上，公布他们从此报告整理出的资安威胁重点。

趋势科技台湾区暨香港区总经理洪伟淦表示，从整体威胁来看，虽然许多新的科技正被讨论，不过，现行主要面对的还是传统环境之下的威胁。他指出，近年时常谈及的勒索软件、APT攻击并未减缓，但攻击手法会变得更复杂，勒索软件攻击也成常态，而在IoT与5G的发展之下，新的资安挑战也将随之出现，此外，由于企业云端使用比例提升，错误设定所引发的资料外泄事件，将会更为普遍。

由AI驱动的诈骗将大幅提高

对于企业而言，有那些是2020年国内要重视的资安议题呢？在趋势科技的预测报告中，最受注目的资安威胁，就是AI所带来的风险。趋势科技资深技术顾问简胜财表示，过去钓鱼与诈骗的威胁持续增加，现在攻击手法将变得更加复杂，而利用AI技术，所进行的深度伪造与诈骗，就是一大威胁。

例如，过去带来庞大损失的商业电子邮件诈骗（BEC），透过电子邮件就能达到目的，而随着AI技术的进步，今年已有透过假冒语音的攻击案例。举例来说，如果骇客透过AI模拟声音与影像来诈骗，日后财务人员接到假冒的视讯电话，看得到对方貌似老板的脸，声音也很熟悉，当“老板”发出命令要人员执行，这时，依照骇客指示去汇款的概率将会非常之高。而且，骇客要取得高阶主管的语音与影像，其实不难，透过网络上搜寻就找得到。

随着AI技术的进步，趋势科技在2020年资安威胁的预测报告中，更是提醒企业要注意骇客利用AI技术的深度伪造与诈骗，将更有机会让一般企业财务人员中招。（摄影／罗正汉）

家中IoT设备将成企业风险

在物联网IoT的议题方面，去年趋势科技曾提到家中连网装置的风险，可能发生从员工家用网络进入企业网络的案例，今年报告中，则指出远端在家工作型态的问题。对此，简胜财说明，许多骇客利用家中的IoT设备，进行勒索、诈骗与企业间谍活动情境。例如，骇客将可能从这类设备，取得一般民众的声音与影像，若搭配过去用于假装绑架企业老板，或亲人的电话诈骗手法，届时将可传送影音档，要胁企业或家人付赎金。他表示，这种攻击不一定会出现，但有可能被拿来做其他或后续的诈骗。

不仅如此，用户所使用的家用路由器，遭骇客绑架的行为也要特别注意。由于骇客可能利用安全性漏洞、弱密码与预设密码，来取得控制权，进而修改DNS Server设定。这将让用户连上某一网站时，将会先连到骇客架设的DNS Server，经过DNS解析，至另一个假冒的网站，这使用户无法从网址列辨别已连至钓鱼网站。简胜财强调，目前骇客已经建立了DNS转址的全套服务，这代表此类地下经济活动已然成形。

而且，由于员工回到家里可能还会继续办公，当这些IoT设备遭骇客掌控，更是增加了骇客窃取企业情资，与网络钓鱼勒索的机会，像是骇客将可能运用AI及语音辨识技术，进而取得与企业有关的商业资讯。

可蠕虫化漏洞将成骇客更常利用目标，云端错误设定问题更常见

从漏洞攻击与云端安全这两大面向来看，趋势科技也提到2020年的变化。例如，骇客将更常利用可蠕虫化的漏洞，发动攻击，而2019年微软公布的BlueKeep弱点，就是一例，他们认为，骇客将会利用BlueKeep这类可蠕虫化的漏洞，制作蠕虫病毒，更易造成快速扩散，以及大量感染。因此，BlueKeep漏洞将更广泛被骇客利用。

因此，企业若要防止受到此类恶意软件的攻击，他们建议，企业应定期进行漏洞和风险评估，并采取预防措施，包括针对具有系统存取权限的供应商与员工，进行彻底检查。

在云端安全方面中，随着使用外部云端管理服务的作法，在企业组织接受度越来越高，然而，近年发生许多相关的资安事件已经带来警惕，尤其是云端配置错误所引发的资料外泄事件，他们认为，这类情形将会变得更为普遍。

对此，简胜财引用Gartner在2019年11月发布的云端服务营收报告，指出2020年时，预估云端服务营收将较今年成长17%，他表示，随着云端的采用率越来越高，风险也相对升高。因此，企业更要注意相关云端安全问题，包括设定适当存取及权限的管控，以及注意异常登入活动等。此外，要注意反序列化（Deserialization）漏洞的程式码注入手法，骇客可直接攻击云端服务商，或是侵入第三方厂商程式库，窃取企业资料。

不仅如此，还包括DevOps与Serverless相关的安全议题。简胜财解释，随着云端服务采用的比例增加，也会有越来越多人采用DevOps的开发模式，但在快速交付之下，很可能压缩到安全相关测试的时间。

再者，对于开发过程中所使用的Container、Serverless、Orchestrator，以及Build环境，如果本身就具有弱点，更是企业的挑战，例如，今年容器执行元件runC，就被发现含有弱点。此外，开发人员很常在网络上寻找Container映像档，但若是这些映像档，本身就不安全，或是来路不明，这其实就意味着，Container执行时就可能已有木马或病毒，因此企业用户要特别注意。

随着云端应用采用率越来越高，趋势预测2020年云端配置错误所引发的资料外泄事件，也会随之上升，对此，企业须更重视云端安全问题，包括设定适当存取及权限管控。（摄影／罗正汉）

金融领域需注意Open API，以及ATM恶意程式

特别的是，在这次的预测报告中，趋势科技也对金融领域提出多项警告，他们指出对于开放银行与支付系统的手机恶意软件的攻击，将更加升温，而且，也要关注ATM恶意软件的新动向。

在此方面，手机病毒仍是网络银行的重大威胁，简胜财表示，包括用户的双重认证简讯被拦截，木马程式采屏幕覆盖的攻击手法，以及窃取用户帐密与信用卡号等，都已有案例发生。更受大众关注的是，今年金管会宣布开放银行施行，简胜财指出，这代表银行要提供API，让第三方服务厂商App能呼叫与查询，但是，如果API或App存在弱点，就会面临很大的风险。

此外，趋势科技还观察到，近来ATM恶意程式已在暗网流通销售，因此不再像过去只是特定骇客团体会发动攻击，银行业者势必要更加注意。

需留意5G、CI与OT等面向的威胁上升态势

对于更多2020年可能出现或上升的威胁，简胜财也逐一说明，例如，5G安全就是新焦点，由于其软件定义网络的特性，以及引进更多IoT设备与新兴服务所衍生的弱点问题，将可能引发额外的风险。

关于关键基础设施（CI）与OT网络设备所面临的威胁，也是趋势科技强调的部分。这些面向将持续成为骇客勒索的目标，例如，发动勒索软件攻击，或是DDoS攻击。他们并预料，公共设施将比私人企业环境，更容易遭受攻击。

面对不断演变的资安威胁环境，近日台湾趋势科技公布2020年的资安预测趋势，趋势科技资深技术顾问简胜财从预测报告挑出数个重点，包括AI伪冒诈骗、系统漏洞攻击、云端风险升高，以及家用物联网兴起造成资安风险范围扩大，有多个面向的变化。（图片来源：趋势科技）

在上述资安预测之外，事实上，趋势科技2020资安预测报告中，还有不少值得关注的重点，但这次活动上，台湾趋势科技并没有提到这些内容，例如，服务供应商将遭受恶意软件与供应链攻击，以及MITRE ATT＆CK框架，将在企业评估安全上发挥更大作用等预测。对此，趋势科技大型企业客户部资深专案经理黄旭堃表示，其实这次报告中的每项预测，都有其重要性。在我们进一步的询问下，他表示，以供应链安全的资安风险而言，近年趋势科技已经时常提到，所以，这次他们指出管理服务供应商（MSP），将会是更要注意的目标对象；至于MITRE ATT＆CK，对于企业防护而言，这两年确实是越来越受到关注，他们也注意到，有更多企业开始参考这样的框架，并懂得询问，以了解资安产品所对应的防护范围等。