当前位置:首页 > 智能硬件 > 安全设备/系统
[导读] 回顾2016、2017年期间,称得上是资安的多事之秋,就算缺乏IT背景的一般普罗大众,可能都对喧腾一时的ATM盗领、证券商集体遭DDoS(分散式阻断服务)攻击勒索,及WannaCry勒索蠕虫等等

回顾2016、2017年期间,称得上是资安的多事之秋,就算缺乏IT背景的一般普罗大众,可能都对喧腾一时的ATM盗领、证券商集体遭DDoS(分散式阻断服务)攻击勒索,及WannaCry勒索蠕虫等等事件朗朗上口。相形之下,2018年至今已过大半,表面看来,除了欧盟GDPR、台湾资通安全管理法等新的法遵议题外,似乎未出现令一般人高度关注的焦点事件,也许有人因而认为,专家们苦口婆心提醒注意的资安问题,其实不像预期般严重。

持平而论,对政府或企业等组织而言,与黑客的对抗是一场无休止的战争,不管台面上的涟漪是大或小,可以肯定的是,台面下必定暗潮汹涌,黑客会默默观察人们的应用情境变化,仔细思索新的切入机会、新的攻击武器、新的获利模式,适时发动奇袭。换言之不管当下氛围的演变为何,防守方都没有掉以轻心的理由,更何况现在大家正如火如荼迎接物联网(IoT)、人工智能(AI)、工业4.0等等新世代,举世万物无论是IT、OT(操作科技)乃至一般民生消费应用,十之八九都将连网,意谓黑客的发挥舞台只会愈来愈宽广、而非限缩,政府与企业皆应严阵以待。

资安专家预期,令不少企业为之恐惧的勒索软件,今后仍将持续进化,变得更加难以预防,因此企业必须认真思索勒索病毒威胁的因应之道。

况且事实上,2018年的信息安全世界,也绝对称不上平静无波;单单在上半年,便有不少值得密切关注的事件。

路由器接连遭骇,凸显IoT安全风险

首先是层出不穷的路由器攻击事件。5月期间,某家台湾品牌的路由器惊传遭骇,肇因于韧体上的漏洞,被窜改DNS设定,可将用户导向黑客掌控的恶意DNS服务器,藉此收集用户的凭证;到了6月,相关事件愈演愈烈,先是惊传多家厂牌的路由器遭受VPNFilter感染,以及Prowli恶意采矿活动肆虐,此后还有号称Mirai的变种「Satori」新殭尸病毒现身,让许多路由器受害。

上述攻击事件情节不一,灾害程度也不同,例如Satori会入侵你的路由器,辗转控制大量IoT装置,继而取得DDoS攻击火力;Prowli会在被骇设备上植入采矿程序,从而将合法网站的流量导至恶意网站,让黑客可出售流量、达到盈利目的;至于VPNFilter会把HTTPS加密传输降级为HTTP,抹除攻击踪迹,让黑客好整以暇进行诸如Rootkit、窃资等恶意活动。以受害者自身立场来看,VPNFilter的严重性显然最高。

但无论如何,这些攻击活动的矛头,都不约而同指向路由器,意谓随著人们上网时间愈来愈长,且连网装置愈趋多元化,黑客体认到与其瞄准一般人未必长时间使用的个人计算机做攻击,不如直接针对路由器下手,如此一来不管你的连网装置为何,通通难逃他的魔掌;这般恶意行为的后续发展脉络,相当值得审慎观察。

其次是某大知名订房系统遭骇,其服务器被植入恶意程序,导致业者在全球的饭店客户一起遭殃,有10余万名住客的个资遭窃;其实在这起事件的不到一个月前,就已出现颇受瞩目的个资窃盗事件,受骇对象是两家加拿大的银行,不过情节稍有不同,因为黑客另外还搭配勒索行为,扬言如果银行不支付赎金,就会把大量客户个资公诸于世,据网络防御AI公司Darktrace的研究人员研判,黑客有可能是利用鱼叉式网钓攻击(Spear Phishing)手法攻进这些银行的系统。

接下来所谈的攻击事件,苦主一样是银行。继过去轰动一时的孟加拉央行、台湾远东银行等SWIFT遇骇事件后,SWIFT攻击再度发生,对象是智利的Banco de Chile、马来西亚央行,但两者结局不同,前者因而损失1千万美元,后者在察觉疑似有SWIFT外汇转帐的异状发生后,随即启动风险控制措施,未让黑客得逞。

但问题来了,看似应该固若金汤的交易接连失守,且以今年的两起个案来看,症结都在于先有员工计算机遭入侵,才让黑客建立滩头堡,有机会藉由银行内网的横向扩散,朝向SWIFT系统步步进逼;足以显示,其实银行与一般其它企业、甚至政府机关应当有所体认,现今单靠传统闸道式防御,很难把黑客阻绝于大门之外,因此必须抛开100%有效预防这种不切实际的想法,转而做好自己一定被骇的前提假设,认真思索应该如何强化内网安全侦测与应变能力,才是正解。

GDPR助攻黑客,竟沦为勒索题材

另不容忽略的重大资安课题,便是GDPR法遵。现在大多数人应该都知道,已在今年5月25日正式上路的该法,堪称是有史以来最严苛的个资保护规则,不仅对于敏感性个资的定义范围甚为广泛(例如包含IP位址、Cookie),且形成触法的可能性很多,比方说因为个资保护不力而致恶意的第三方窃取,使用欧盟公民个资但已脱离当初约定目的,未配合处理个资持有人主张的遗忘(删除)、可携或更正等应有权利,纵使个资未外泄但安全防护的水平欠佳或未完善保存个资的使用记录,以及一旦爆发个资外泄资安事件、未能在规定的72小时内通报主管机关及因事件受害的当事人,只要踩到这些地雷,都可能被认为违法。

更可怕的是,万一被欧盟当局认定违反GDPR,倘若情节重大,最高可能被裁处2千万欧元(约新台币7.2亿元)、抑或年度全球营业总额4%的巨额罚款,罚则之重不仅为全球其它类似法案所罕见,且依台湾多数企业皆偏向中小型规模的现实而论,只要不慎挨罚,绝对会严重到动摇国本,万万不能不当一回事。

在此前提下,许多资安业者在最近一年多时间,纷纷以GDPR法遵为主题,举办多次研讨会或论坛,意在提醒与欧盟有较多生意往来的企业,必须及早从技术面、管理流程面、组织架构面、甚或企业文化面着手,倾全力做好必要的个资盘点工作,从而针对不足之处,积极强化个资保护机制。

有趣的是,GDPR话题的延烧,也意外给予黑客莫大灵感,进而酿成让企业哭笑不得的事件。比方说不久前有一家保加利亚的资安厂商Tad Group,揭露一种名为Ransomhack的新式勒索攻击,黑客不像以前入侵后执行档案加密,而是玩得更大,窃走企业个资后进行勒索,扬言企业若拒不支付赎金,就公开这些个资内容,让该企业因而吃上欧盟的巨额罚锾。

基于前述种种事件,显见黑客攻击不仅未销声匿迹,反而入侵手法更见细腻、获利模式更见高明,企业唯有不断加强防御,才能明哲保身。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭