近年私隱外洩、保安漏洞等問題頻繁出現,如去年 Sanrio Town 網上平台、Vtech 的 Kid Connect 等服務被入侵導致會員資料外洩,引起公眾、企業及政府對個人資料安全的關注。近日 Verizon 發布《數據失竊調查報告 2016》指出,網絡罪犯仍以「網絡釣魚」和勒索軟件作為主要手段進行攻擊,多達九成個案攻擊者可在數分鐘或更短時間內把系統攻陷,而八成半成功個案均是利用常見漏洞達成,更有逾六成的數據失竊源於使用了易破解甚至預設密碼,反映企業及用戶保安意識的不足。
Verizon 近日發布的《數據失竊調查報告 2016》指出,釣魚網站、勒索軟件等仍是網絡罪犯常用的攻擊手法,利用個人用戶及企業員工保安意識不足的弱點犯案。報告指近九成的攻擊與詐財或間諜活動相關,然而 85% 成功的網絡攻擊所利用的網絡漏洞,其實已存在多月或甚至多年並已有修補程式,但大部分網絡攻擊的入侵點,都是利用這些從未修補過的保安漏洞。
此外,更有 63% 經確定的數據失竊,報告顯示都是涉及使用容易破解、預設或被盜取的密碼。而近年不斷加速變種的勒索軟件亦成為其中一大主要的攻擊方式,以勒索軟體進行攻擊的個案亦不斷上升,比 2015 年增加了 16%。
Verizon 亞太區副總裁葉照長表示,透過今次的報告可以看到很多機構仍嚴重缺乏基本的防禦措施,他建議企業尤其是中小企應提供課程加強員工保安意識培訓,如定期更換系統密碼及安裝修補程式修正保安漏洞,以保障企業與客戶資料的安全。
「網絡釣魚」成為頭號顧慮
Verizon 亞太區網絡安全總監黃財明表示,隨著智能手機和物聯網等新技術的普及和應用,亦令黑客有了更多攻擊和犯罪的機會,其中「網絡釣魚」是最為主要且常見的手法,勒索軟件則成為了近年新型的攻擊及詐財手段,而 95% 的數據外洩和 86 % 的安全事故大致可歸類為內部資料外洩、實體資料遺失/失竊、阻斷服務攻擊、惡意軟件、網絡程式攻擊等九種類型。
黃財明解釋,「網絡釣魚」個案,即終端用戶收到假冒其他身份的騙徒電郵,數字在新一年大幅增加。今年有 30% 的釣魚郵件被打開,相比 2015 年的 23% 有明顯上升。而被點擊的郵件中,13% 更打開了惡意附件或連接,讓網絡罪犯得以透過惡意軟件犯案。
過往多年,網絡釣魚主要僅涉及網絡間諜活動,但在 2016年 的報告中,這手法已擴展上述九種網絡攻擊類型的其中七種。騙徒利用這方法可迅速攻陷電腦保安防線,而且將攻擊鎖定個別人士或機構。
黑客一般通過發出附帶惡意連接或附件的釣魚電郵,把惡意軟件下載至個人電腦,從而建立立足點,然後經其他惡意軟件來探取秘密及要盜取的內部文件(亦即網絡間諜活動),或把檔案加密以進行勒索。有時惡意軟件會透過鍵盤記錄來盜取多個應用程式的登入資料。再利用盜取的登入資料進行更多攻擊,例如登錄到銀行或零售商店等第三者網站。
他又指在各項人為錯誤中,也包括機構本身犯下的錯誤。這類統稱為「其他錯誤」的類型,佔本年保安事故首位。當中,26% 涉及把敏感資料發送到錯誤的收件人。這類「其他錯誤」也包括公司資料處理不當、IT 系統配置錯誤,以及手提電腦和智能電話等失竊等。
黃財明表示,其實調查結果大致可歸納為一個共通點:人為因素。雖然資訊安全上的研究及網絡偵測方案和工具已十分發達,但很多已知道十年以上的錯誤仍不斷發生。這個現象正引證人為因素的存在。
黑客入侵快速攻陷系統 企業後知後覺
黃財明亦指出另一個需要關注的要點,就是網絡犯罪的速度。他表示,由於企業或用戶使用過於簡單甚至預設的密碼,以及未有及時為保安漏洞安裝修補程式,導致在 93% 的個案中,攻擊者平均僅需 225 秒或更短時間把系統攻陷;而在 28% 的個案中,相關數據在幾分鐘內便被偷取。調查報告亦顯示,僅僅 25% 的企業能在少於一天的時間內發現系統遭入侵或資料外洩,大部分企業可能要數週甚至數月後才發覺事件。
他又提到今年報告中手提電話及物聯網裝置被入侵的情況雖然不算嚴重,但針對電話和物聯網攻擊的概念並非虛構,這些器材的大規模數據失竊將來也很大機會發生。換言之,各機構對智能手機和物聯網器材應繼續保持警惕,及對裝置加強保護。
黃財明亦分享了報告中的實際案例,指有網絡罪犯利用網絡程式攻擊的方式,取得船公司的貨物清單再轉售,令海盜能根據清單針對性地劫取運有如珠寶、鑽石等貴重物品的船隻貨櫃,讓企業蒙受巨大損失。香港作為國際中轉貨運樞紐,黃財明建議相關行業的企業可從三方面著手保障公司免受網絡程式攻擊,如啟用兩步驗證確保管理系統不被非法登入、定期安裝漏洞修復程式及監控可疑的接入裝置。
專家重申有需要執行基本措施
黃財明最後亦強調妥善執行基本防禦措施比採用複雜的系統更爲重要,他亦建議了一些基本措施讓企業能提高資料的安全保障:
- 瞭解在你的行業內最普遍的攻擊模式。在電腦系統內應採用雙重認證,而且鼓勵用家在登入社交網絡應用程式時,也採用雙重認證。
- 盡快修補已知的漏洞。
- 監控一切輸入:審查所有登入記錄以偵察惡意活動。
- 為數據加密:如果被盜的器材已經加密,攻擊者要取得數據便會倍添困難。
- 培訓員工:特別在網絡釣魚日益嚴重的情況下,提升機構內的保安意識是關鍵所在。
- 熟悉你的數據,並施加相應的保護。另外亦應限制可以存取數據的人數。
他續指,雖然難以確保系統完全安全,但很多時只是一些基本的防禦措施,就能增加黑客的投入成本,降低其投資回報率,已足以令網絡罪犯卻步,轉而尋找更容易的目標。
Source: Verizon 2016 Data Breach Investigations Report