物聯網擴大，資安風險3大重點警示

2020 / 04 / 24

文／資安人整理編輯　　資料提供：Check Point、Sohpos、趨勢科技

上一篇，我們提到借取過往的經驗，讓目前的防範可以更為穩定，前車之鑑後車之師，2020年資安，回顧了2019 年網路威脅四大類型且對於2020年的資安威脅增加了警覺與強化的學習。這一篇我們將擴大分享，除了企業IT的資安外，個人與企業的物聯網的安全部署上資安風險有哪些警示是我們可以事先留意的。

2020 年網路攻擊4大手段
Sophos 亞太及日本區高級技術方案總監韋頌修表示：「網路威脅形勢持續演變，進展速度與變化程度甚至比以往更快，亦更難以預測。鑒於世人只能確定當前發生的事，因此 SophoLabs分析目前趨勢對明年世界的影響，並強調攻擊者如何更隱秘、更擅於利用其他人的錯誤，以及揭露他們如何透過行動應用程式和藏身在網路中的隱藏行蹤、逃避威脅偵測技術，甚至隱匿在雲端。」

因此《SophosLabs 2020年網路威脅報告》中提出了四項網路攻擊手段對2020年的網路安全影響，分別為：
1. 勒索軟體攻擊者繼續以自動化主動攻撃 (AAA) 升級威脅
網路罪犯利用獲企業信賴的系統管理工具進行攻擊，以避過安全監控措施和阻礙備份，目的是在最短時間內對受害組織造成最大影響。
2. 垃圾應用程式更貼近惡意程式
過去一年坊間出現了濫用訂購機制的 Android詐騙程式 (Android Fleeceware)，以及比以往更鬼祟但更富攻擊性的廣告軟體。這份威脅報告指出它們和其他潛在垃圾應用程式 (PUA)，例如瀏覽器外掛程式等，已經成為交付與執行惡意軟體或無檔案攻擊的代理人。
3. 操作人員設定錯誤是雲端運算的最大漏洞
隨著雲端系統愈加複雜且具靈活性，操作人員出錯成了日趨嚴重的風險。再加上一般系統都欠缺可見度，使雲端運算環境成為駭客手到擒來的目標。
4. 用來打擊惡意程式的機器學習設計反被攻擊
2019 年標榜著採用機器學習技術的安全系統或許會成為攻擊目標。有研究顯示，有心人士可以騙過機器學習偵測模型，亦能利用機器學習技術創造出令人信服的虛假內容，以作為社交工程攻擊手段。但在另一邊，防守者則利用機器學習技術辦別出惡意電子郵件和網址。這種進階式的貓捉老鼠遊戲預計在未來將會更為普遍。

AIoT時代來臨，資安防禦手段須同步提升
面對2020年的資安現況，除了學習過去的經驗持續將經驗深根到專精外，對於未來科技的趨勢走向也必須同時重視與留意。尤其在數位科技的風潮下，無論個人或企業的資料都漸漸了上了雲端，雲端的風險不可不注意，而人工智慧（Artificial Intelligence）AI一詞關鍵詞是急速竄起，也將會是駭客所覬覦的目標，除了企業端外，消費端當投資更多經費為家中添購更多智慧裝置時，同樣的駭客也正加倍努力發動網路攻擊。因此對於未來科技的持續擴張與普及時，或許我們也需與未來科技除了同步跟進外，也需要同步的防範與防禦，尤其是企業端與帶動產業發展的相關單位與人員。物聯網擴大，資安風險3大重點警示
去年(2019)12月中，趨勢科技臺灣區暨香港區總經理洪偉淦表示：「企業、工廠甚至家庭工作者在2020年預期將導入更多智慧連網設備，雲端應用服務的使用亦更加頻繁，企業所面對的資安管理議題不僅複雜度升高，與商業永續經營的關聯性亦將更勝以往，如何提升內部資安防禦的能見度，為企業執行長及資安長應該重視的經營議題之一。」同時，趨勢科技也發表了，2020年資安年度預測報告，針對網路安全威脅也提出三大重點警示，包含：企業雲端風險加劇、AI偽冒詐騙數量攀升、以及家中物聯網擴大資安風險。同時也針對這3大重點警示提出了相關處置的建議:
１．數位創新將迎來雲端風險升高
數位轉型浪潮之下，企業將愈趨依賴雲端進行資料串聯處理，根據Gartner預測至2022年，將會有多達60％的企業組織使用外部雲端管理服務。因此，趨勢科技預測因錯誤雲端儲存空間的設定所引發的資料外洩事件將會更為普遍！另一方面，隨著開發營運(DevOps)環境的日漸風行，企業將更仰賴第三方開發的程式碼，快速開發及更新可能壓縮安全或漏洞相關測試的時間。伴隨歐盟「第二號支付服務指令」(PSD2) 生效、開放銀行興起，台灣也即將於2020年進入純網銀服務時代，金融業者將自家API開放給第三方業者，為駭客帶來全新的潛在攻擊機會，趨勢科技預測與行動支付相關的惡意軟體對於開放銀行與支付系統的攻擊將更加升溫，在API漏洞下，可能遭致隱私外洩的資安風險。
２．AI偽冒詐騙DeepFakes將持續增加系統漏洞將成駭客攻防重點
近年來，各種以假亂真的Deepfake技術迅速發展，趨勢科技預測傳統的變臉詐騙 (Business Email Compromise, BEC) 手法將有所轉變，駭客將利用AI技術合成或模擬聲音以及影像畫面，更加逼真地模仿那些容易在網路上取得聲音和影像的CEO等高階主管，企圖誘使企業員工匯款，進而達成目的。預期此類型的AI合成技術商業詐騙，將更頻繁地出現。
3. 家用物聯網興起全面擴大資安風險範圍
隨著家中物聯網環境逐漸興起，根據創市際2018年公佈的「2018台灣微智慧生活」調查台灣智慧家庭裝置使用率約三成，顯示台灣智慧家庭狀況正逐漸普及，然而此現象也成為駭客入侵的機會點之一 ! 趨勢科技預測駭客將利用家中 IoT 設備進行勒索、詐騙甚至企業間諜活動，透過裝置漏洞為管道，如智慧電視、智慧揚聲器等，監視在家工作者與企業間的對話，掌握企業情資，進一步鎖定企業為勒索目標。

同時，駭客看準物聯網裝置逐漸普及，更鎖定智慧型家用物聯網設備如路由器，進行DNS (Domain Name Server) 挾持攻擊。透過劫持DNS將使用者引導至假的網址，取得帳密、個資等重要裝置及個人資訊，進一步進行勒索或販售個資牟利等不法行為，趨勢科技提醒消費者必須要將智慧家庭裝置納入資安防護的考量之一。

整合性縱深防禦，才是最有效的防護策略
趨勢科技資深技術顧問簡勝財分享提升資安防禦的要點 : 「面對未來雲端應用及物聯網環境逐漸成熟的趨勢，企業在電子郵件、網路、端點、伺服器與雲端工作負載等多變環境下，應採整合性的縱深防禦策略，除了透過網路流量監控和行為偵測，應對常見的攻擊手法，還能透過專業的威脅情資協助企業面對各種攻擊。而民眾應培養資安意識，在行動支付與智慧家庭裝置的個資安全防護須有所警覺，除了可以透過安裝防毒軟體協助保護交易安全與個人資料外，可使用多重認證的帳密保護措施，以防範重要個資被竊。」

最後，我們或許可以引用一段話來提醒自己，對於過去的基礎與規則要持續應用與更新，時刻保有警覺與好奇的心態，將防護紮下穩定的根基外，關鍵處上，要全力匯集防禦的資源，單位、機關、產業整體合作前進。

閱讀相關文章，《前車之鑑後車之師，2020年資安》

特別感謝，本篇文資料提供資安廠商
Check Point Software Technologies Ltd. ( www.checkpoint.com）
Sophos (www.sophos.com)
趨勢科技 (www.trendmicro.com)

物聯網、Iot、風險、雲端