趨勢科技舉辦CLOUDSEC 2018企業資安高峰論壇,以「Freedom to Connect」為主題,探討數位轉型在即,全面連網讓IT與各產業成長的關係更加緊密,然而面對獲利導向的駭客惡意攻擊,企業該如何應用資訊安全技術及建立資訊安全架構,是不可忽視的議題。
|
CLOUDSEC 2018現場展示對金融產業、製造產業及政府部門三大產業的資安情境提出解決方案。 |
因此,趨勢科技全球安全研究副總Rik Ferguson將於會中分享新興科技、法規與IT交互影響所帶給企業的資安風險,以及企業在數位轉型中所應有的資安思維。同時,2018年也特別邀請到零時差計畫(Zero-Day Initiative, ZDI)資安計畫經理Shannon Sabens與會分享漏洞攻擊的新趨勢,以呼籲企業在行動及聯網時代應重視漏洞防禦機制。
根據趨勢科技最新資安報告指出,2018年上半年共發生15起每件超過百萬筆資料遭竊取的企業資安事件,相較於2017下半年的9起大型資料外洩事件有顯著攀升的趨勢,顯見駭客對於盜取企業機密資料的野心仍未停歇。
趨勢科技全球安全研究副總Rik Ferguson表示,AI、IoT與IIoT的技術發展逐漸普及,驅使數位資料應用與企業營運更為緊密連結。國際間對於資料保護規定的推行,例如歐盟的一般資料保護規定(General Data Protection Regulation, GDPR)上路,已影響並推動企業對於資訊安全管理的策略。
Rik Ferguson也提出,過去駭客影響企業資安的手法依然盛行,如假借企業高層身份或是關係企業要求匯款的商業電子郵件詐騙(Business Email Compromise, BEC),抑或運用勒索軟體入侵企業內部系統,盜取商業機密或客戶資料要求企業支付贖金等犯罪形式。
此外,2018年上半年急速攀升的挖礦惡意軟體更對企業系統產能造成影響。Rik Ferguson呼籲企業應將任何潛在資安風險納入考量,把資訊安全政策納入長期營運規劃,並透過全方位資安架構佈建及持續性的資安教育,才能真正將資安落實在企業營運各層級中。
在CLOUDSEC 2018企業資安高峰論壇中,首度來台的零時差計畫(Zero Day Initiative, ZDI)資安計畫經理Shannon Sabens在分享內容中提到,ZDI成立至今13年來已經與全世界80多個國家、超過3500名獨立研究人員合作。根據Frost & Sullivian統計2017年在全球漏洞研究市場中有高達66.3%的漏洞是由ZDI提供,並累積至今已有4500項漏洞得到廠商修補。最近更推出針對性激勵方案(Targeted Incentive Program, TIP),鼓勵研究人員針對重要伺服器產品提出漏洞攻擊研究報告,協同防禦企業資安。
綜觀ZDI所取得的漏洞研究報告,Shannon Sabens亦分享了4項當前漏洞趨勢:
(1)企業軟體的漏洞數量持續上升。
(2)資料採集與監控系統(Supervisory Control And Data Acquisition, SCADA)漏洞隨著物聯網的應用,被關注比例也因此提高。
(3)瀏覽器上的即時編譯器(Just-in-Time, JIT)弱點成為新的使用已釋放記憶體(Use-After-Free, UAF)的漏洞,駭客得以入侵執行惡意程式進行不法行為。
(4)虛擬化軟體漏洞的浮現趨勢。除了漏洞趨勢分析,ZDI也希望藉由揭露更多漏洞報告,促使供應商加速更新修護程式,以減少駭客的不肖利用,提升企業資訊安全。
趨勢科技台灣暨香港區總經理洪偉淦也表示,企業在面對持續嚴峻的網路威脅態勢下,已無法完全免於網路攻擊的風險中。綜觀國、內外企業受駭案例,無論駭客使用無法預測、精密的入侵手法,抑或使用已有眾多前例、常見的入侵手法,都讓資安人員在進行網路防禦時會有百密一疏的風險。
趨勢科技團隊亦使用常被用來解釋金融市場現象的『黑天鵝效應』與『灰犀牛效應』來提醒企業,資安觀念除了建立更需要被實踐,即使是發生機率不高而被人們輕易忽略的資安危害,或是屢屢被提及卻不被重視的資安問題,都可能讓身處在萬物連網的企業陷入高風險中,因此企業須建立正確網路防禦思維,網路防禦策略才能發揮效益。