經歷疫情兩年,網路勒索的情況稍緩。然而,隨著網路威脅情勢的不斷發展,2023 年勒索軟體再次出現,著實令人擔憂。越來越多駭客針對資訊業與實體供應鏈發動大規模的網路攻擊,並找到新的方式,向大大小小的企業勒索金錢。因此,「網路風險」也成為各企業最關心的問題之一。
單就勒索軟體活動,在 2023 年上半年就比同期增加 50%。所謂「勒索軟體即服務 (RaaS, Ransomware-as-a-Service)」套件,價格低到 40 美元就有,造成勒索頻繁攻擊的主要因素。而犯罪集團發動攻擊的速度也越來越快,從 2019 年平均 60 天左右發動一次攻擊,下降到 4 天。
現在大多數勒索軟體攻擊,主要以竊取個人或敏感商業資訊,來進行勒索。除了增加事件的成本與複雜性,同時也帶來更大的聲譽損害可能性。
根據近年超過 100 萬歐元的大型網路損失分析顯示,從 2019 年的 40% 翻倍到 2022 年的近80%,2023 年的活動更高,資料外洩的案例數量急劇增加。
現在網路犯罪者在正在使用人工智慧 (AI) 進行自動化與加速攻擊的方式,創造出更有效的惡意軟體和網路釣魚攻擊。再加上移動式的上網設備與支援 5G 物聯網 (IoT) 的爆量成長,未來網路攻擊的管道只會越來越多。
主要的威脅
人工智慧的能力
犯罪者已經開始使用 ChatGPT 等人工智慧的語言模型,來編寫程式碼。生成式 AI 可以幫助原本不太熟悉威脅行為的新手犯罪者,根據現行勒索軟體,開發出新種變體軟體,增加他們的能力與攻擊次數。
我們可以預期未來惡意攻擊者勢必會更頻繁地利用 AI,因此我們也需要採取更強大的資訊安全措施。
「語音模擬軟體」已經成為網路罪犯的強大武器之一。一個實際案例,一家英國能源供應商的執行長接到他們認為是該部門母公司負責人的電話,要求將約 25 萬美元匯給特定供應商,實際卻是匯款給詐騙者。電話聲音是使用人工智慧生成的。而用於釣魚詐騙的深偽影片技術 (Deepfake),也可以在網路上找到,價格相當低廉。
但往好的方面看,企業於人工智慧支援檢測的投資,亦有助於更早地發現更多的事件發生。
行動裝置暴露個人和公司數據
行動裝置 (包括智慧型手機、平板電腦和筆記型電腦) 上鬆散的安控管理與混雜個人與公司資料,是網路犯罪者極有興趣的攻擊點。
疫情期間,許多企業透過私人設備,開放遠端進入企業網路的新方式,無需通過多重身份驗證 (MFA),也導致了許多成功的網路攻擊和大額保險索賠。
網路犯罪者現在利用特定的惡意軟體,針對行動裝置,來取得遠端存取、竊取登入憑證或安裝勒索軟體。
由於個人行動設備通常具有較弱的安控,若使用公共 Wi-Fi 更是增加受攻擊的風險,這些包括在社群媒體上的各種釣魚攻擊。
5G 技術的推出,如果管理不當,也是一個潛在令人擔憂的領域。因為它連接更多互聯設備,包括無人駕駛汽車、到智慧城市的複雜應用。
然而,許多物聯網設備沒有很好的資安管理,很容易被發現,而且沒有 MFA 機制。當犯罪者與人工智慧結合後,就構成了嚴重的網路威脅。即使到現在,我們仍然可以在網路上看到設有預設密碼的裝置。
大多數網路攻擊,都是肇因於鬆散的安控。
資安人才短缺
專業人才短缺,將使資安工作變得更加複雜。
目前全球資安人才缺口超過 300 萬人,需求成長速度是供應成長的兩倍。根據 Gartner 的預測,到 2025 年,超過一半的重大網路事件,將是由人才缺乏或人為失誤所造成。
換言之,由於技術發展迅速,必須要有足夠經驗的人,來跟上威脅的節奏。但要找到優秀的資安工程師非常困難,這表示企業更容易受到網路事件的影響。
沒有足夠經驗的資安人員,會讓預測和防止事件更加困難,這可能表示公司未來將有更多損失。
而資安專家的短缺,也會影響事件的成本。根據 IBM《2023 年資料外洩成本報告 (Cost of a Data Breach Report 2023)》,平均資料外洩成本為 536 萬美元,比實際平均成本高出約 20%。
早期發現的重要性
預防網路攻擊變得越來越困難,風險也越來越高。因此,早期偵測和應對能力與工具變得越來越重要。
如果你企業的網路中存在未被發現的漏洞,那就是一個潛在的致命弱點。若沒有有效的早期偵測工具,可能會導致更長的非計劃性停機時間,造成成本增加,對客戶、收入、盈利能力與公司聲譽,產生更大的影響。
目前大部分的資安預算都用在預防方面,大約有 35% 的預算是用於偵測與應對。
然而,如果入侵未被發現,則情況可能迅速升級。一旦數據被加密和/或竊取,成本就會成倍增加。如果事件未被及早發現和控制,成本就會像滾雪球般倍增,可能高出 1000 倍,甚至更多。
因此企業必須及早正視資安管理,並採取必要措施,來避免未來可能不可控的極大損失。
(資料來源: World Economic Forum)