迎向2016,企業資安風險將有哪些不同變化?本文整理各大資安廠商對2016年資安風險的預測,作為企業規劃年度資安策略的參考。
現在的資訊與網路環境越來越複雜,資安攻擊也跟著複雜化,因為可以用來攻擊的目標增加了,攻擊型態也因此而有不同變化,從各大資安廠商對2016年資安趨勢的預測來看,未來可能會有更多針對雲端或虛擬化的攻擊出現,如何落實雲端資安防護,將是企業接下來最需要學習的課題。此外,有別於傳統竊取資料再至黑市販售的攻擊目的,越來越多駭客選擇直接對企業進行網路勒索或詐騙,以加快非法得利的速度,這也增加了企業在資安工作上的挑戰。
雲端及虛擬化成熟發展 關鍵應用漸漸上雲端
隨著雲端技術的成熟發展,企業對雲端及虛擬化的依賴程度也日益加深,從最初只願意將電子郵件、網站…等非關鍵系統放上雲端,到現在開始有部份企業將關鍵系統移轉至雲端,甚至將IT策略定為「雲端優先」,雲端已經逐漸成為企業IT的基礎架構。
根據f5《2015亞太地區應用交付現狀》報告,43%受訪者認為私有雲會在未來2到5年內對企業產生重要的戰略意義,37%和35%的受訪者分別選擇了SaaS和公有雲服務(IaaS)。另外,在應用程式的雲端佈署上,目前亞太地區雖然只有11%的應用服務佈署在雲端上,但是在2016年,41%受訪者會將0-24%的應用程式遷移至雲端,24%受訪者則表示會做25-50%的遷移,甚至有5%受訪者預期屆時他們的應用程式將會全部以雲端為基礎。
雲端將成為駭客頭號攻擊目標
當雲端匯聚越來越多企業應用程式與資訊,駭客對它的關注度也就跟著拉高。根據FortiGuard最新資安預測報告:《新規則:2016年威脅概況演進(New Rules: The Evolving Threat Landscape in 2016)》,2016前幾大網路安全趨勢中,其中一項就是,針對雲端及虛擬化基礎設施的攻擊將日益增加。
FortiGuard指出,2015年中出現的新漏洞「毒液(Venom)」,意味著惡意程式可能可以逃過虛擬管理程式(hypervisor)的監控,並存取虛擬環境中的主機作業系統。預計到了2016年,這類型的攻擊將會越來越多,虛擬化與雲端將成為網路罪犯的頭號攻擊目標。
此外,現今很多應用程式(Apps)都是直接存取雲端系統,倘若這些應用程式受到感染,而使用者又經由行動裝置執行受感染的程式,如此就有可能為駭客建立一個攻擊管道,讓駭客能夠遠端攻擊公有雲及私有雲,以及這些程式所連結的企業網路。
f5台灣暨香港區技術總監莊龍源表示,資安是企業在佈署雲端時最關注的議題,在前述f5調查報告中指出,42%受訪者表示最擔心雲端佈署的應用服務沒有安全防護,13%的受訪者關注身份識別/存取管理服務的安全。
除了雲端服務本身可能有的資安風險,DropBox、Google Drive等雲端儲存服務,也為企業帶來不同面向的風險。企業員工自行使用公有雲服務、尤其是雲端儲存服務的比例非常高,這有可能會改變企業資安佈署的方向。
以前企業在評估資安解決方案時,習慣以網路層解決方案為主,佈署較容易、快速,但是當企業員工自行採用雲端儲存服務時,網路層的安全防禦機制是沒有辦法發揮效用的,因為雲和端點間的資料傳輸走的是加密通道,企業根本不知道傳了什麼資料。
由此來看,企業未來在佈署資安防禦機制時,可能會有以下二個方向:第一是以端點為主的解決方案,既然中間攔不到,那就從源頭處開始管控,至少可以知道有哪些資料被傳出去,第二是對資料加密或IAM解決方案的需求會增加,當資料經過加密處理或是設定使用權限,就算上傳到了公有雲,其他人在沒有權限或解密金鑰的情況下,就沒有辦法開啟資料。
駭客工具盛行 DDoS攻擊歷久彌新
除了雲端帶來的資安議題外,網路勒索或詐騙也是企業在2016年所要關注的重點,包括DDoS攻擊、網路勒索軟體、變臉詐騙...等都是常見駭客用來勒索或詐騙的手法。
針對DDoS攻擊來看,Imperva台灣區業務副總經理韓明皓表示,以前只有在特殊情況下才會發生DDoS攻擊,舉例來說,特定政治/新聞事件發生時,公部門或組織的網頁就很容易受到DDoS攻擊,反對者透過這個方式表達不滿,另外某些特定行業如:線上遊戲業者,也很容易受到DDoS攻擊,攻擊者利用這個方式讓玩家無法連網玩遊戲,從而向線上遊戲業者進行勒索。
但是2015年卻發生好幾起針對企業進行的攻擊,包括一些指標性銀行、航空公司等都曾經受到攻擊,雖然不清楚攻擊者的目的,但可以合理推論是為了勒索、詐財,就算沒有金錢上的目的,DDoS癱瘓網站、使得企業不能服務消費者,也已經間接損害到企業商譽。
韓明皓認為,DDoS之所以能夠捲土重來,主要有二個原因,第一、與其他攻擊方式相比,DDoS攻擊是相對容易的方式,駭客只要能控制100台具有運算能力的連網裝置就能發動10~30G的攻擊,而現今連網裝置太多了,不像傳統只有電腦一種選擇,現在的智慧型手機與平板電腦都能加入DDoS攻擊行列,駭客要取得攻擊資源其實不難。再者,市場上有很多很簡單的駭客工具,即便不具備高深的技術能力,也能應用工具發動攻擊,這種駭客工具普及化的現象,讓資安攻擊不再只是駭客才能做的事。
網路詐騙成功率高 勒索軟體將大幅成長
至於網路勒索軟體,根據趨勢科技最新公布的2016年資安預測,勒索軟體、尤其是加密型勒索軟體攻擊在2015年大幅成長,預計2016年會越來越普及。
趨勢科技台灣區技術支援部資深經理簡勝財指出,多數人以為勒索軟體針對的是個人與中小企業,事實上在趨勢科技的事件處理經驗中,也有大型企業是受害者,只是多為零星個案不是全面感染,而且中毒的電腦多半是因為共享資料夾才引起連鎖反應。
此外,Symantec安全情報團隊針對2016年所做的重大安全預測也認為,網路詐騙的成功率及其所帶來的利潤,導致勒索軟體的規模未來很可能進一步擴大。而且隨著人們逐步提高對詐騙事件的意識與警覺,攻擊者及其惡意軟體可能會運用更高明的手段來逃避檢測和阻止惡意軟體被移除。此外,勒索信件也有可能會升級,攻擊者將針對攻擊目標而採用不同的誘餌來欺騙無辜用戶。