2017年資安預測 蘋果漏洞恐超越微軟

趨勢科技於12月13日發表「2017年資安年度預測報告」,指出隨著「駭客經濟高獲利」、「攻擊技術高準確」、「使用者高受害機率」三個資安威脅環境的成熟,2017年駭客有可能大舉來襲,引爆駭客淘金潮。其中提到Adobe和Apple平台新發現的漏洞數量,將可能超越Microsoft。

「2017年資安年度預測報告」重點如下:

1. 2017年勒索病毒成長力道將開始平緩,但攻擊手法將朝多元化發展。
趨勢科技去年預測今年為「網路勒索之年」,截至9月30日止他們的統計顯示,勒索病毒家族數量暴增了400%。由於高峰期已過,明年不會成長這麼多,預測將在25%左右,平均每個月約出現15個新的家族。但在進入穩定期之後,歹徒將朝多元化發展,攻擊範圍也會更全面,不僅個人、企業,諸如手機、POS系統、ATM銀行提款機、物聯網設備等各種平台都可能成為目標。

2. 物聯網裝置將在分散式阻斷服務(DDoS)攻擊當中扮演更大的角色,而工業物聯網系統也將成為針對性攻擊的目標。
2017年將有更多攻擊針對物聯網及相關基礎架構中的重要環節,網路犯罪集團將使用類似Mirai殭屍網路的惡意程式來發動DDoS攻擊,一些服務導向、新聞、企業和政治相關的網站,都有可能成為目標,歹徒攻擊的動機包括金錢、洩憤,或其他特定要求。

目前全球眾多物聯網產業中,工業和製造業控制系統(如:SCADA,系統監控和資料擷取系統)已被發現有多項漏洞,將成為駭客斂財的切入破口。

3. 變臉詐騙太容易得逞,將使得2017年的針對性詐騙數量增加。
變臉詐騙亦稱「商務電子郵件入侵(Business Email Compromise,簡稱BEC)」,手法是先駭入某個電子郵件帳號,然後再透過該帳號指使員工將款項匯到歹徒的銀行帳戶。由於變臉詐騙太容易得逞,尤其是假冒執行長的詐騙,將成為網路犯罪集團最愛的手法之一。而且此類詐騙經濟效益高,平均每次變臉詐騙的不法獲利高達14萬美元。

4. 商業流程入侵將逐漸獲得網路犯罪集團青睞,目標將鎖定財務相關部門。
有別於變臉詐騙,「商業流程入侵(Business Process Compromise,簡稱BPC)」針對大型機構處理金融交易的流程下手。例如駭進採購系統,暗中攔截原本應該匯給廠商的款項。孟加拉銀行(Bangladesh Bank)就因為遭到網路搶劫而造成高達8,100萬美元的損失。

勒索病毒攻擊、變臉詐騙與商業流程入侵的平均不法潛在獲利分別為:20萬、14萬及8,100萬美元,可想而之網路犯罪集團,甚至是國庫短缺的不肖政府會更偏愛商業流程入侵的攻擊方式。

5. Adobe和Apple平台新發現的漏洞數量將超越Microsoft。
今年Adobe新發現的漏洞數量首度超越Microsoft,截至目前為止,Zero-Day Initiative(ZDI)漏洞懸賞計畫發現的Adobe和Microsoft新漏洞數量分別為135個和76個。此外,今年也是Apple新漏洞發現數量最多的一年,截至11月為止共有50個,較前一年的25個大幅成長。

Adobe, Apple及Microsoft漏洞數量比較表
▲ ZDI漏洞懸賞計畫所揭露的Microsoft、Adobe和Apple漏洞,資料截止至2016年9月30日(表/取自趨勢科技「2017年資安年度預測報告」)

趨勢科技分析,由於Windows PC出貨量衰退,Mac出貨量成長,有越來越多人使用手機或平板,再加上Microsoft在資安方面的改善,促使網路犯罪集團目光轉向非Microsoft系統。除此之外,Apple宣布不再支援iPhone 4S,因此一些在新系統中修正的漏洞,在老裝置上形同門戶洞開。

6. 網路宣傳將成為一種常態
網際網路滲透率的提升,為有意透過這個免費工具來影響民意風向的人,開啟了全新契機。由於網路資訊難以辨別真偽,一些想要操弄民意的有心人士,或單純只是支持特定候選人的用戶拼命轉貼的結果,經常導致不實內容和消息一夕爆紅。這對不熟悉網路生態的使用者來說,很難判斷資訊真假。預期2017年社群媒體的使用、濫用與誤用會更普遍。

7. 「通用資料保護法規」上路,將使企業管理成本增加。
歐盟即將上路的「通用資料保護法規(GDPR)」不僅適用歐盟會員國,凡是需要蒐集、處理和儲存歐盟人民個人資料的全球企業機構都將適用。當2018年該法規正式上路時,違反的企業最高將可能受到該公司全球營收4%的罰鍰。根據GDPR的要求,將迫使企業徹底檢討整個資料處理流程以符合規範,大幅提高管理成本。

8. 歹徒將開發出能躲避今日偵測技術的最新針對性攻擊手法。
有關針對性攻擊的最早記錄大約是在十年之前,然而時至今日,歹徒的技術能力更加純熟,反觀網路基礎架構卻沒有太大改變。根據趨勢科技的觀察,歹徒能夠適時調整攻擊工具、手法和程序來配合不同國情和不同企業目標,因此預料未來的針對性攻擊勢必會出現一些全新技巧。

史塔夫短評:網路攝影機也有可能被駭喔,請大家小心。

留言