close
中小企資訊保安專區資訊保安

卡巴斯基:75% 騙徒透過社交工程行騙、僅 17% 採用較精密的惡意程式

卡巴斯基與第三方統計機構早前合作進行全球問卷調查,針對金融行業的網絡攻擊威脅問題展開統計,並發布《金融機構保安風險報告2016》,發現金融機構遭遇網絡安全事故,每次平均損失接近 100 萬美元($926,000)。卡巴斯基稱,75% 的騙徒透過社交工程行騙,只有 17% 採用較精密的惡意程式行事,呼籲機構不要低估較簡單的威脅。

 

最高損失事故源於 POS 漏洞、金額達 200 萬美元

問卷調查針對金融業界專業人士面對的主要網絡威脅,以及世界各地面對網絡攻擊的經濟損失,當中發現讓金融企業蒙受最高損失的事故,始源於 Point-of- Sale (PoS) 系統的安全漏洞,令單一機構因此事件而損失 2,086,000 美元,針對流動裝置的攻擊排名第二位,導致企業損失 1,641,000 美元,第三位屬於造成 1,305,000 美元損失的針對性攻擊。

 

63% 受訪企業:單純符合規格要求並不足夠

符合監管要求(Compliance),通常是銀行和金融機構增加 IT 保安資源的最大誘因,然而調查發現,63% 企業認為單純符合保安的規格並不足夠。

另一個促使企業增加保安預算的原因,是日益複雜的網絡基礎設施環境,例如,中型金融機構採用虛擬桌面基礎設施 (Virtual Desktop Infrastructure. VDI),管理大約 10,000 名終端用戶,而當中大約一半屬於智能電話和平板電腦。

其他增加 IT 保案資源的原因,主要是內部專業知識不足、高層管理指令和業務拓展,83%受訪金融企業預期未來將會增加 IT 保安的預算。

 

卡巴斯基:75% 騙徒透過社交工程行騙

研究顯示,金融機構面對保安挑戰,傾向採取通過增加威脅情報和進行保安審計的方法,73% 企業認為以上措施有效。然而,金融機構都不太願意採用第三方保安服務,只有 53% 機構認為具有效用。卡巴斯基實驗室的專家,對金融機構提出 2017 年的五項保安策略建議:

1. 注意針對性攻擊

對金融機構的針對性攻擊,可能會經過第三方企業或承包商來發動,這些企業通常防護意識較低,能夠透過惡意程式或網絡釣魚作為攻擊的起點。

2. 不要低估較簡單的威脅

騙徒可以使用簡單的工具發動大規模攻擊,憑數量獲取可觀的收入,75% 的騙徒透過社交工程行騙,只有 17% 採用較精密的惡意程式行事。

3. 平衡資源分配

IT 預算通常都會側重於滿足保安規格,但是也要兼顧強化保安和採用新技術的需要,達致合適地平衡分配資源。

4. 定期進行滲透測試

現實的環境往往存在未被發現的保安漏洞,使用精密的偵測工具進行滲透測試,漏洞和事故便有機會浮現,不要放過任何弱點或漏洞以策安全。

5. 留意內部威脅

職員也可能被網絡罪犯利用,有效的保安策略除了周邊的防護,也應該包括偵測內部可疑活動的技術。

 

Tags : Kaspersky
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。