星盾發表資安威脅報告 自動化攻擊將在 2019 年愈演愈烈

2018 年全球各地各個產業個資外洩事件頻傳。截至 2018 年 9 月為止，全球遭外洩個資已高達 17 億筆，大型資料外洩造成的損失金額約是台幣 1.2 億起跳，而全球每秒都至少有 900 筆資料正在外洩中。

而專注於動態安全防護技術的星盾科技，也根據過去兩年在資安領域的實戰經驗，發表 2018 年資安威脅報告，明確指出因為 AI 技術的快速發展，自動化攻擊將更加真假難辨，成為進攻網站操作流程漏洞的巨大挑戰。

「根據我們的觀察，造成個資外洩的手法以帳密填充、帳密竊取以及網路釣魚大宗。除此之外，針對路由器漏洞的攻擊、跨平台惡意程式攻擊、API 濫用，以及假冒行動應用程式也助長個資外洩。」星盾科技創辦人暨 CTO 林育民表示。

根據調查，高達 75% 使用者會在不同系統使用相同的密碼；於是駭客基於這個弱點，利用外洩的個資，鎖定網路帳戶進行攻擊，特別是消費者於網路銀行上的帳戶。對於攻擊成功的帳戶，駭客可以利用這些帳戶進行線上詐騙，以獲取更多利益。根據統計，每年線上詐騙金額高達 160 億美元，在未來的 5 年內更有機會高達 480 億美元。

從資安威脅報告來看，星盾科技發現 2018 年流行的駭客攻擊手法如下：

• 自動化攻擊成為攻擊主力：自動化攻擊又可稱之為機器人攻擊，是透過自動化攻擊工具進行。基本上自動化攻擊有兩種型態，一是流氓上門型的 DDoS 攻擊，用惡意流量來阻斷應用服務；二是刺客型的零時差漏洞攻擊，關鍵就是搶快，企業往往來不及回防。
• 跨平台網路攻擊持續增加：隨著聯網設備的多樣化，駭客的自動化攻擊不再僅針對單一平台，已轉換為跨平台攻擊，攻擊範圍已經涵蓋到 IoT 設備。
• 以快速獲利為目的：大多數網路攻擊都是以快速取得金錢為主要目的，因此自動化攻擊成為主要攻擊手段。

林育民表示，自動化攻擊只會愈來愈擬人化，隨著 IoT 設備的普及增加攻擊範圍，絕對是 2019 年的資安威脅挑戰。「美國加州 SB-327 法案通過，明確要求 IoT 製造商提供登入裝置的身份安全驗證。此法案將促使全美更重視 IoT 裝置的資安。我們預期其他國家也將會陸續制定對 IoT 裝置安全要求的規範。」林育民解釋道：「以台灣來說，除了資安法三讀通過之外，其他如 IPCAM 資安產業標準及檢測規範正式版也已誕生，IOT 設備檢測等相關法案正在規劃中。」

隨後，林育民表示，星盾科技獨家的動態安全技術，針對駭客的各種手法與自動化攻擊，都有相對的防禦方案應對，透過一層層的過濾，限制駭客可能的攻擊的路徑，讓企業的資安管理人員有效面對每天的駭客攻擊。「星盾的解決方案不僅防禦自動化攻擊，也可防禦網站、行動應用與 IoT 裝置，協助傳統資安方案處理面對未知漏洞威脅和多樣化的自動化攻擊。」