台灣企業有錢且願付錢 資安軟體勒索組織分工已工業化。資料照
網路資安攻擊無國界,國際資安場調查顯示,網路犯罪集團其實有調查過台灣,發現台灣企業很有錢,且台灣企業會付錢,因此勒索軟體攻擊猖獗。卡巴斯基(Kaspersky)觀察近期資安趨勢表示,今年以來勒索程式攻擊的次數略為下降,卻更複雜且具針對性,幾乎涵蓋各類型的產業機構或組織,從石化、電信、科技、醫療、教育到服務提供商等工商企業,這些勒索組織已經發展成完整的生態系統,分工也更加工業化。
全球機構遭受資安攻擊事件頻傳,網路惡意程式不僅加密速度越來越快,手法日趨複雜,近來更利用合法軟體及系統漏洞發動攻擊與勒索。卡巴斯基(Kaspersky)的各產品檢測統計,勒索軟體在2022年嘗試勒索攻擊的次數達7420萬次,比起2021年的6170萬次成長了20%。
勒索組織已經發展成完整的生態系統,分工也更加工業化,尤其ICT供應鏈透過不同的伺服器、應用程式和網路連接到不同的供應商、分銷商、承銷商、客戶或服務提供者,一旦其中之一遭惡意程式攻擊,後果將形成骨牌效應,可滲透的缺口越多,遭網路攻擊的範圍也就越大。
卡巴斯基專門為台灣企業和機構,建議了一套加強網路安全的步驟,當中包括制定出核心原則和技術標準、建構完善的程式和法規以管理ICT供應鏈基礎設施、規劃整體網路安全戰略、以及通過政府和私人機構的合作,確保整體網路安全水準的提升。
卡巴斯基的全球研究和分析團隊重點分析了2020年亞太地區某數位憑證頒發機構遭受攻擊的事件,發現了惡意軟體是利用政府和該機構之間的信任,攻擊並利用該機構網站的弱點,實際上政府才是真正的攻擊目標。卡巴斯基以此例說明,夥伴關係除了需要信任,還要以透明度為前提,才能確保網路用戶的安全得以持續地受到保護。
為了贏取客戶的信任,卡巴斯基到目前為止在全球設立九個「透明中心」,供世界各地的政府機關以及合作夥伴查閱卡巴斯基的軟體開發文件、產品程式、威脅偵測規則資料庫、雲端服務、第三方安全審計結果等,以便用戶無後顧之憂。