2016年接近尾聲,不少企業均曾遭受不同形式的攻擊或入侵,自然要為新一年作好準備。
網絡資訊保安方案廠商趨勢科技,上周便發布其2017年保安預測報告。這份名為《新層次-- -- 2017年8大保安預測》的報告指出,未來一年,全世界將會面對更深化及廣化的攻擊,而惡意攻擊者更會利用不斷改變的科技世界,而調整策略,務求獲取最大利益。
趨勢科技香港區顧問李浩然指出,繼網絡罪犯在2016年,利用更廣泛的手法進行攻擊後,明年的攻擊手段更會跨進新領域。新的勒索程式族群只會平穩增加,大約為25%。不過其攻擊面將擴展至IoT裝置,及非桌面電腦終端機,如銷售點系統或ATM等。
「即將實施的歐盟資料保護規範(GDPR),預期將對全球大部分機構的數據管理帶來重大改變;新的攻擊手法將威脅更多機構。惡化中的威脅程式攻擊,將影響更多裝置;而網絡宣傳也會主導公眾意見。」
漏洞重心逐步轉移
在2016年,蘋果電腦出現的漏洞大幅增加至50個,而Adobe及微軟則分別有135個及76個漏洞,顯示出歹徒尋找漏洞的重心已逐步轉移。在2017年,隨著蘋果電腦成為更廣泛使用的作業系統,及微軟加強了保安,趨勢科技預計這個漏洞的趨勢將會持續。
另一方面,物聯網(IoT)及工業物聯網(IIoT),將在2017的攻擊中擔任重要角色。隨著機構日漸接受業務系統連接不同裝置,歹徒也利用這些裝置的漏洞,及未被保護的系統,來干擾機構的業務運作,例如較早前發生的Mirai事件。在製造業及工業作業環境中,普遍用作監察管控系統的流動裝置,也會因它們的大量漏洞,而對機構帶來威脅。然而,製造商或將不能及時防護IoT 及IIoT 裝置,以阻截拍拒絕服務及其他攻擊。
商業電郵詐騙(BEC)及商業程序詐騙(BPC),會繼續成為有效率,及相對簡單地針對商業機構的行騙手法;一次商業電郵詐騙行動,在誘導無知僱員轉帳至歹徒戶口的得益,可達14萬美元。而直接入侵財務交易系統的行動,雖然較為複雜,但歹徒可獲取更為巨大的利益,其中有個案的金額,更高達8千100萬美元。就像2016年孟加拉一家銀行遇襲事件一樣,網絡歹徒將繼續以更改商業機構的業務程序,來進行商業程序詐騙,謀取不法利潤。預期此類詐騙,依然會以針對無知員工來開始攻擊程序。
李浩然表示:「我們繼續見到網絡歹徒,因應科技世界的改變而調整戰術。其中在2016年大行其道的勒索程式,可能難以維持高速增長,因此歹徒必定會在現有的惡意程式家族中,尋求新攻擊手法。同樣地,物聯網也為歹徒提供了額外的攻擊平台,而用戶改變使用的軟件程式,也推動了歹徒發掘不同漏洞的行動。」
沒有留言:
發佈留言