賽門鐵克今日發布第 22 期網路安全威脅報告 (ITSR 22)，指出去年的攻擊目的已從過往的經濟間諜轉向以政治目標為目的，而最近正夯的物聯網以及大家都在用的雲端服務也很容易成為駭客攻擊的目標，無論是消費者或是企業都小心應付。

賽門鐵克大中華地區首席營運官羅少輝表示：「攻擊複雜性的進一步增加以及網路攻擊的不斷創新一直是安全威脅環境的兩大特點。」不過賽門鐵克也發現今年網路犯罪的動機和重點都和以往不同，某些國家加大了政治操縱和破壞性攻擊的力度，同時，透過利用相對簡單的 IT 工具和雲端服務漏洞，網路罪犯造成的破壞也達到了前所未有的地步。

▲賽門鐵克大中華區首席營運官羅少輝介紹 ISTR 22 主題。

ITSR 22 七大要點

本次 ITSR 22 報告中主要針對七大主題，「針對性攻擊」、「線上銀行搶劫」、「物聯網」、「勒索軟體」、「巨集、IT 和惡意軟體」、「電子郵件」以及「雲端服務」。

▲賽門鐵克首席技術顧問張士龍為大家進行細部的解釋。

針對性攻擊：經濟間諜活動轉向政治目的破壞性活動

網路罪犯正執行具政治破壞力的攻擊，逐間將目標轉向新的目標群。例如，去年針對美國大選，民主黨的網路攻擊和後來被竊資料洩漏，都反映出罪犯傾向採取高調、公然的行動。而這些行動是為了動搖和干擾目標機構和國家而設計。

最著名的例子除了去年的美國總統大選網路攻擊事件以外，還有發生在去年一月的烏克蘭發電廠網路攻擊，網路罪犯以針對基礎設施進行攻擊，導致附近住戶停電時間長達六小時，這也是首次有網路攻擊造成民眾不便的例子。

儘管涉及破壞行為的網路攻擊在傳統上較為罕見，但像是美國大選資料洩漏的事件，都再再顯示網路罪犯有嘗試「顛覆」政治和挑撥煽動其他國家不和的動機與趨勢。

線上銀行搶劫：往往牽涉數十億美元的洗錢案件

新一代的網路攻擊者也表現出對金融的巨大野心，但其攻擊目的或許在於資助其他隱蔽或顛覆性攻擊活動。根據賽門鐵克的調查，截至目前為止，許多大型金融搶劫案都在無形中發生，並造成數十億美元的損失。最典型的例子是「孟加拉網路銀行事件」，當時駭客利用孟加拉區一台網路銀行，先利用 Swift 電腦系統進行滲透、找出漏洞，並且取得控制權，最後將範圍擴大，包括越南、厄瓜多爾、菲律賓和波瀾。賽門鐵克稱這項利用 SWIFT 漏洞的攻擊為「Trojan.Banswift」，認為網路罪犯之所以能成功利用此項漏洞造成攻擊，原因在於攻擊者對於 SWIFT 系統非常了解，並為 SWIFT 系統面設了訂製的惡意軟體，透過竄改確認消息掩蓋攻擊路徑，導致系統沒有察覺。

羅少輝營運官表示：「這類攻擊者至少竊取了 9,400 萬美元，而它們的設定目甚至可能更高。」儘管部分攻擊事件是由網路罪犯組織所實施，但賽門鐵克也首次發現民族國家似乎也餐與其中，接露了北韓或與攻擊孟加拉、越南、厄瓜多爾和波瀾等國銀行有關的攻擊證據。

電子郵件攻擊：2016 年惡意郵件比例為近五年最高。

賽門鐵克調查發現，近年來垃圾郵件的數量下降，原因在於大眾已經能夠明確辨識「垃圾郵件」和「一般郵件」的差別，然而，惡意郵件比例卻為近年來最高。從 2014 年「每 244 封有一封惡意郵件」、2015 年「每 220 封有一封」，到今年比例暴增的「每 131 封郵件就有一封惡意郵件」來看，網路攻擊逐漸有轉向將惡意軟體夾帶在信件中隨機進行釣魚攻擊的趨勢。

巨集、IT 和惡意軟體：Office 檔案、Powershell 成為主要工具

2016 年，賽門鐵克發現網路犯罪使用 Powershell 和 Microsoft Office 等檔案作為主要感染攻擊武器，這類攻擊會利用惡意郵件的模式，將檔案夾帶在信件中要求收件者下載觀看，一般民眾因對微軟 Office 的檔案較沒有戒心，因此很容易受騙上當。這類檔案一旦使用者點開以後，其中所含有的巨集設定就會進入電腦系統端，進一步挾持電腦。由於 Powershell 被攻擊者廣泛使用，因此賽門鐵克所觀察到的 Powershell 檔案中，有 95% 為惡意郵件。

雲端漏洞：網路犯罪的下一戰線

民眾和企業越來越依賴雲端服務的前提下，各大機構也面臨種攻擊正面突襲攻擊。2016 年時，就有用戶在網路上將過期的資料庫保持開放狀態，而且還沒有開啟身分認證，導致供應商數以萬計的原端資料全部遭挾持，並被勒索支付贖金。

賽門鐵克的調查數據顯示，源端安全對於各企業首席資訊科技總監來講，它們對於企業採用的雲端應用數量並不了解，多數受訪者認為自身企業採用的應用只有最多 40 個，可是事實上，實際應用數量可能已經接近上千個了。這樣的認知差距會加大雲端應用程式的安全風險。

賽門鐵克預測，雲端資料運用中的安全風險正在逐漸加大，除非這些企業資訊科技總監能嚴格控制企業內部使用的雲端應用，否則他們在未來面臨嚴重的安全威脅。

物聯網：若單點被突破，就是全盤皆毀

物聯網以及智慧城市是目前政府和各大企業都力推的科技，然而，物聯網本身因為無系統強化、無更新機制，加上大多使用預設密碼的情況下，它的安全問題就很容易暴露在風險中。根據賽門鐵克的測試，在 2004 年時，若將一台沒有任何更新和安全軟體的電腦連接到網路的話，四分鐘以內就會遭到網路攻擊。但 2016 年時，賽門鐵克測試員將一台物聯網設備連接到網路，2 分鐘以內就遭到攻擊了，可以想像物聯網目前的網路安全問題還十分薄弱。

根據 Gartner 的估計，到 2020 年時，全球將會有 200 億個物聯網設備，就算只是其中 1% 的設備遭到攻擊，物聯網薄弱的網路安全還是很有可能會在瞬間就讓上億的物聯網設備遭到入侵。

勒索軟體：消費者依然是主要攻擊目標

勒索軟體在過去一年中持續成為肆虐全球的問題，也是罪犯有利可圖的生意。2016 年，賽門鐵克共監測到超過 100 個肆意傳播的新型惡意軟體家族，數量是過去紀錄的三倍之多。

在眾多的攻擊目標國家中，美國依然是勒索軟體攻擊鎖定的頭號目標，台灣則是全球第 32 大攻擊目標。相較於全球，有 64% 的美國勒索軟體受害者更情願支付贖金。但同意支付贖金導致更加嚴重的後果，2016 年時，勒索軟體的平均贖金較往年增加了 266%，贖金金額也從 2015 年的 294 美元攀升至 1,077 美元，問題比以往更加嚴重。

網路安全建議

隨著攻擊者不斷改進攻擊手段，企業和消費者應該採取多種措施來實現安全防護。賽門鐵克建議先從一些最佳最法開始：

對企業而言

不要毫無準備：採用先進的威脅情報方案，有助於找出漏洞入侵跡象並迅速回應。
要有最壞的打算：故障管理確保用戶的安全框架式可測量及可重複的，還可以幫助用戶記取教訓以改善安全，用戶也應該考慮和第三方專家合作，加強危機管理。
實施多層式防護：針對閘道、電郵伺服器和端點的攻擊，在整個網路上實施雙重認證、網站漏洞惡意軟體防護以及 Web 安全閘道解決方案等安全防護。
提供有關惡意電子郵件的持續培訓：培訓員工認識網路釣魚郵件和其他惡意軟體攻擊的風險。
監控資源：確保企業資源和網路監控穩定，及時發現異常和可疑行為，並且第一時間就回報。

對消費者而言

更改所有設備裝置與服務的密碼：在所有電腦、物聯網裝置和 Wifi 網路上使用強度高的密碼，不要再使用「123456」、「password」等密碼了。
確保作業系統保持最新版本：軟體更新經常附帶的修補程式，有助於修補可能被攻擊者利用的安全性漏洞。
使用電郵時加倍小心：電郵是常見的感染途徑，刪除任何可疑郵件，特別是內含連結或復健的電郵。
檔案隨時備份：備份是對抗勒索軟體感染的最有效途徑，一旦攻擊者把受害人的檔案加密，另受害人不可使用，便會以此作為勒索籌碼。假如有預先備份的話，只需要清除感染後便可以復原檔案。