企業衝數位轉型,資安意識不可無!趨勢科技叮嚀這些設備要當心

2019.03.18 by
蔣曜宇
Shutterstock
台灣資安大會開幕前夕,趨勢科技全球核心技術部的資深協理張裕敏對全球資安危機進行分析,認為針對關鍵基礎建設的攻擊將是未來趨勢,而許多正進行數位轉型的中小企業將是潛在攻擊目標。

5G商轉、物聯網建設,面對科技的快速演化,許多中小企業也加緊腳步進行數位轉型。然而,趨勢科技全球核心技術部的資深協理張裕敏卻提醒,中小企業若資安意識不足,很可能讓自己淪為駭客攻擊的潛在目標。

張裕敏過去曾針對網路攻擊做過許多精準的分析與預測,他在去年三月舉辦的台灣資安大會上預測,工業物聯網以及瓦斯公司可能成為下一波攻擊的對象,隨即有四間美國瓦斯管線公司因駭客入侵而導致連線與通訊中斷。張裕敏表示,他並非有私人線報,而是駭客攻擊有其週期性。透過大量追蹤駭客的數位軌跡,資安分析師便可推測駭客的攻擊途徑。

大眾資安意識薄弱,基礎設備成攻擊目標

趨勢科技全球核心技術部的資深協理張裕敏呼籲,大眾要更加提防駭客針對關鍵基礎建設進行的攻擊。
趨勢科技

今年,張裕敏則呼籲大眾要更加提防駭客針對關鍵基礎建設進行的攻擊。這些基礎建設不只包含水利、能源等大型設備,而是更加貼近人們生活的基本設施。張裕敏列舉了三種,包括網路基礎設施(如路由器、公共Wifi等)、金流基礎設施(如一般公司的後台金流系統及實體的ATM)以及資訊媒體基礎設施(包含一切傳達資訊的平台,如電視及社群媒體),這些貫穿人們日常的設施,其實蘊含很多隱性的威脅是大眾所沒有意識到的。

其實要當一個駭客是相當容易的。以張裕敏的話形容:「要工具有工具、要方法有方法、要目標有目標。」在程式原始碼公開網站Github上,就有免費提供的監聽模組等入侵用工具的程式碼。此外,在被稱為「世上最危險搜尋器」的Shodan網站上,駭客不僅可以輕易找到與互聯網連結的設備如公共Wifi、交通號誌系統或銀行監控系統的IP位址,另一個名叫ICS Radar的網站甚至還為駭客們整理哪些網站有安全漏洞。

在成為駭客的門檻不斷降低的同時,大眾的資安意識卻進展得相當緩慢。尤其在許多中小企業因應時代趨勢進行數位轉型的當下,卻沒有思考到駭客攻擊的危險性。趨勢科技行銷協理陳亭妏舉例說,在2017年時勒索軟體的攻擊相當盛行,到了2018年卻有明顯下降的趨勢,他們認為,攻擊數下降很可能是因為攻擊對象從個人轉向到公司,綁架公司藉以營運的ERP系統或其他對外網路伺服器,有些公司不願張揚,便私下付贖金了事而不回報。

「駭客怎麼樣都可能打進來」,數位轉型不能漏掉防備戒心

倚靠「無線電遙控器」操作的工廠機械手臂、天車等,一旦遭駭客利用恐將危害工業安全。
趨勢科技

張裕敏強調,資安意識薄弱是很危險的事。許多人以為藍牙距離短就放下戒心,但現在市面上可以用很便宜的價格買到指向天線,把藍牙連到好幾公里外的距離。另外,未來的5G發展也會是另一個可能的資安破口,因為5G連線不用透過路由器,許多企業就會因而失去網路邊界,直接進入所有人共享的網路頻段,使攻擊變得更多元、更難防備。

張裕敏表示,許多中小企業沒有資金和人才做資安防護,他希望更多資安公司可以一同合作,提供數位轉型和物聯網建設的相關輔導,並呼籲政府建立平台,協助更多中小企業維護資訊安全。而針對較有資源的大企業,張裕敏則希望他們以「駭客怎麼樣都可能打進來」的思維,模擬駭客的做法,才可能做到滴水不漏的防護。

延伸閱讀

每日精選科技圈重要消息