2018年全球各地各個產業個資外洩事件頻傳。截至2018年9月為止,全球遭外洩個資已高達17億筆,大型資料外洩造成的損失金額約是台幣1.2億起跳,而全球每秒都至少有900筆資料正在外洩中。
 |
| 2018資安數據大解密 |
星盾科技創辦人暨CTO林育民表示,造成個資外洩的手法以帳密填充、帳密竊取以及網路釣魚大宗。除此之外,針對路由器漏洞的攻擊、跨平台惡意程式攻擊、API濫用,以及假冒行動應用程式也助長個資外洩。
除了個資外洩,2018也是資安相關法規與合規檢測如雨後春筍般冒出的一年。除了GDPR實施以外,美國加州SB-327 IoT法案誕生,在台灣,政府今年更將資安的重要性拉抬至「資安即國安」的層級,因此今年有資通安全管理法三讀通過、IPCAM資安產業標準及檢測規範正式版誕生,以及正在規劃中的IOT設備檢測等相關法案。預期將會有更多相關法規陸續出現。隨著IoT設備數量高速增長,未來資安立法重點將更著重於IoT裝置對於隱私的影響。
根據調查,高達75%使用者會在不同系統使用相同的密碼;於是駭客基於這個弱點,利用外洩的個資,鎖定網路帳戶進行攻擊,特別是消費者於網路銀行上的帳戶。對於攻擊成功的帳戶,駭客可以利用這些帳戶進行線上詐騙,以獲取更多利益。根據統計,每年線上詐騙金額高達160億美元,在未來的5年內更有機會高達480億美元。
2018年的重大資安事件以及星盾科技觀察到的駭客攻擊手法發現:
‧ 自動化攻擊成頻寬佔用元兇:在許多中大型網站可佔網站整體惡意流量的90%以上,導致企業線上收入減少,使用者經驗不佳,影響品牌形象以及其盈利能力
‧ 自動化漏洞攻擊讓災情快速蔓延:自動化攻擊工具可以在短時間內定位有漏洞的目標,並立刻發動攻擊,特別是零時差漏洞,往往讓企業措手不及
‧ 跨平台網路攻擊持續增加:隨著聯網設備的多樣化,駭客的自動化攻擊不再僅針對單一平台,已轉換為跨平台攻擊
‧ 以快速獲利為目的:大多數網絡攻擊都是以快速取得金錢為主要目的,因此自動化攻擊成為主要攻擊手段
星盾科技預計未來的資安大趨勢將有以下幾個方向:
‧ FIDO 2身份驗證解決方案將開始受到重視,將能有效應對和密碼使用相關的許多安全風險
‧ 機器人發動的自動化攻擊將更為擬人化與精密,這將是未來自動化攻擊的重要發展方向
‧ 應用程序功能和業務邏輯的漏洞,將成為擬人自動化攻擊主要目標
‧ 物聯網設備已成為自動化攻擊的主要目標,物聯網設備的安全性,將是企業重視的資安重點之一
‧ 美國加州SB-327法案通過,明確要求IoT製造商提供登入裝置的身份安全驗證。此法案將促使全美更重視IoT裝置的資安。預期其他國家也將會陸續制定對IoT裝置安全要求的規範