cwlogo

切換側邊選單 天下全閱讀 切換搜尋選單
切換會員選單

網路攝影機變駭客天堂 2017資安危機大預測

精華簡文

網路攝影機變駭客天堂 2017資安危機大預測

圖片來源:Shutterstock

瀏覽數

3359

網路攝影機變駭客天堂 2017資安危機大預測

Web Only

超過半個世紀,美、蘇兩國間的情報戰從未畫下休止符,只是從007間諜變成了惡意病毒。上週,美國總統歐巴馬指俄羅斯企圖介入總統大選,驅逐35名俄羅斯駐美外交官,震驚國際。

駭客文化始於國與國間的資訊戰。長久以來,政府都是駭客的主要攻擊目標。但近幾年,國際駭客合縱連橫,透過專業分工,慢慢形成巨大的黑色經濟,鎖定各行各業,直接淘金。曾任台北地檢署主任檢察官,專精於偵查網路犯罪,剛接下中華民國電腦稽核協會理事長張紹斌指出,民間被駭客攻擊是非常大的犯罪黑數。

「駭客找到成功的攻擊手法,會在社群分享,互相合作;但被駭企業這一端,大家不願意交流,」勤業眾信風險管理諮詢公司副總經理溫紹群說。長久以來,企業被駭客攻擊,但礙於顏面,不敢張揚,導致大家都低估網路攻擊的嚴重性。

把金融業當提款機

安永去年底調查全球1700多家公司的資訊主管,近1000家公司表示,過去一年曾發生重大資安事故,資安威脅包括惡意程式、網路釣魚、財務資訊或智慧財產權資料遭竊等,比例都較前一年增加一成左右。

回顧2016年,網路攻擊把金融業傷得很重。駭客已很嫻熟地透過遠端操作,把金融機構當提款機,金額動輒上億。

銀行電子化,資訊流等於金流。駭客控制了資訊流,就控制金流。

去年2月,孟加拉央行遭竊8100萬美元(近26億台幣);7月,台灣第一銀行全省41台ATM吐鈔,車手意圖盜領逾8000萬台幣;11月,英國特易購銀行(Tesco Bank)有9000名客戶的資料被竊取,遭駭客從帳戶盜領現金,特易購銀行必須賠償250萬英鎊(約9800萬台幣)。

「銀行電子化,資訊流等於金流。駭客控制了資訊流,就控制金流,」趨勢科技總經理洪偉淦指出。

去年第一銀行被駭以後,敲醒金融業對資安的重視。有銀行喊出資安預算無上限、有銀行挖角資安專家,也有董事會主動找顧問公司上課。(天下資料)

但金融業數位化的腳步不會因為資安而歇腳。金融科技業如同年輕氣盛的追兵,讓金融業陷於創新業務與資訊安全的苦戰。

不只金融業,製造業要做物聯網(IoT),汽車業要發展無人車,國家要發展智慧城市,都代表愈來愈多的聯網裝置,各行各業被迫開放系統。「萬物聯網就表示萬物皆可入侵,」洪偉淦示警。

這也不是預測。去年底美國東岸發生史上最大規模DDoS(分散式阻斷服務)攻擊,造成《紐約時報》、推特、Netflix、Airbnb等網站癱瘓。事後發現,攻擊來源竟然不是電腦,而是網路攝影機。「這些廉價的網路攝影機,當初設計沒考慮資安,現在成了駭客天堂,」洪偉淦形容。

一定會被盜  只是你不知道

這是最壞的時機,也是最好的時機。國內一銀ATM被駭以後,金融業到製造業有如大夢初醒。過去資安主管常抱怨,資安預算永遠排在最後順位,但現在情況逐步好轉。

擁有眾多金融業客戶的勤業眾信,去年下半勤跑公司董事會,解釋資安威脅。「連負責稽核的主管,都被要求上駭客行為的課,」溫紹群說。

「現在企業不能假設不會被入侵,而是一定會被入侵,但企業有沒有能力偵測出來,」曾被富邦集團董事長蔡明忠譽為「資安守護神」的富邦金控資訊處處長李相臣笑說。

金融業已記取教訓,但駭客不會輕易罷手,攻擊手法還會不斷創新。以下是2017年金融業資安預測:

預測1:行動網銀容易被駭

去年《天下》獨家報導,過半在Google  Play上架的國銀app,有明顯的資安漏洞,在公用Wi-Fi環境下,駭客就有機會能竊取用戶的帳號密碼。

各家銀行投入行動網銀,卻疏於管理開發流程,可能已經讓每個人的交易暴露在駭客眼前。(天下資料)

資安專家透露,銀行委外開發,很多是小公司,在時間壓力下,許多app開發人員直接上網找現成的程式開發套件;沒想到這些開發套件被埋後門,駭客就容易登堂入室。

隨著蘋果用戶數成長,iOS系統也成為駭客的主要攻擊目標之一。趨勢科技預測,2017年,蘋果被揭露的漏洞數量恐超越微軟,全球果粉要格外提防。

預測2:駭客侵入銀行轉帳系統

全球銀行仰賴轉帳平台Swift,向彼此發送支付指令。而去年2月,孟加拉央行遭竊8100萬美元,就是駭客經由Swift,向紐約聯儲銀行發出偽造的轉帳訊息。光是去年夏天,Swift接獲會員銀行類似的資安事件通報就有三起,連Swift總裁都自承銀行遭遇網路攻擊,來到關鍵分水嶺。

洪偉淦指出,從孟加拉央行到一銀事件,都屬於APT(進階持續性滲透攻擊)手法。手法不新,但由於跨國駭客集團被擒獲的風險小、報酬率高,在駭客間呷好道相報。

他形容,APT是精密的作戰策略,通常透過釣魚郵件,滲透進公司內部系統,取得權限,再伺機發動攻擊。

據趨勢科技追蹤國內175家企業,超過400次的駭客攻擊,台灣企業平均遭駭客入侵潛伏598天,最長超過11年!

預測3:金融業串起防護網

去年才向兆豐銀重罰57億的紐約州金融服務署(DFS),也準備加重對金融業的資安監理。原定今年1月上路的資安新規,要求金融業必須每年交報告,確保完整的審計追蹤,以及資安事件發生72小時內通報、任命資安官等。

香港金管局也公布「網路防衛計劃」,要求銀行評估自身風險,並新設資安通報平台,由銀行間共享網路威脅的風險資訊。

光靠逐防火牆已不夠,企業要化身巡邏警員,專找進門的可疑人物。

第一銀行事件後,也催生國內第一部資安專法「資安管理法」。目前仍在行政院審查。其中,由行政院資安處優先提撥5000萬,預計今年第二季成立金融資安中心F-ISAC,整合銀行、證券、保險資安預警與聯防。

預測4:企業提高資安預算

監理條件趨嚴,意味著金融業為達合規,要布署更多專業人力、採購設備、引進專業顧問公司。

華南銀行搶先提出「資安預算無上限」,預計今年增聘5至10名資安專家。一銀去年底,也悄悄延攬前技服中心主任劉培文,擔任資訊副總。

安永企管諮詢服務公司資深協理魯君禮指出,金融業做好資安,關鍵是想法要改變。數位金融時代,銀行要開放系統,愈來愈多有權限的人可以進入銀行系統,光靠以前建防火牆當堡壘,把人擋在門外的做法已沒用;未來資安管理更接近城市治理,負責資安的人化身巡邏警員,專門找進門的人有沒有行跡可疑。(責任編輯:王珉瑄)

【更多文章】

APP不安全 五招遠離駭客

關鍵字:

好友人數

文章下載

PDF下載 付費閱讀
 
登入會員看更多

全站通行 83折優惠中