將近一年前,世界發生一場翻天覆地的巨變,COVID-19 全球大流行疫情幾乎改變了一切。那時,所有企業員工都返回家中辦公,雲端採用率直線上升,數位轉型已成為大規模業務營運的當務之急。值此多事之秋正是攻擊者的「大好機會」,這一點已廣泛反映在網路犯罪的數據上。
如今一年將至,讓我們來回顧在這段前所未見的動蕩時期最令人瞠目結舌的一些產業資安統計數據。
爆炸性成長的攻擊事件
在封城後的六週內,世界衛生組織(WHO)警告有詐騙者假冒 WHO,利用疫情帶來的恐慌及不確定性伺機作案,同時也直接鎖定世衛組織系統及員工為目標,犯罪事件比 2019 年同期成長五倍。
儘管大多數攻擊者仍一貫採取最常用且經實證有效的攻擊手法 – 網路釣魚及盜用身份 – 但攻擊數量之多令人震驚,無數受害者在注意力分散、毫無所悉及未做好準備的情況下上鉤。TechRepublic 報告指出,僅僅在 2020 年 3 月,魚叉式網釣攻擊事件便暴增 667%,到了 4 月,FBI 統計網路攻擊數量增加了 400%。
正當全球迅速爆發危機之際,勒索軟體攻擊事件也激增 800% ,促使國際刑警組織向一線醫療機構發出威脅日益嚴重的警告。微軟的研究人員也警告,犯罪集團使用Robbinhood、Maze 和 Revil 等流行病毒進行「長尾」攻擊,等待數週、甚至數月部署勒索軟體,將大量高價值資料解密,並索取數百萬美元的巨額贖金。
同時,隨著組織加速採用雲端以滿足客戶需求及支援分散各地的員工團隊,一月至四月期間的雲端攻擊足足增加了 630%,主要鎖定 Microsoft 365 等服務,且通常涉及憑證盜用。
這些攻擊從未停息:百分之 70 在公有雲上託管資料或工作負載的組織曾在過去一年經歷資安事件,多雲端組織通報的事件比單一平台組織多出一倍。
據 Ponemon Institute 估計,與遠距工作相關的新風險與挑戰將導致 2020 年的資料外洩全球平均總成本增加 13.7 萬美元,每次事件的平均總成本高達約 400 萬美元。
若進一步細分,醫療保健業的平均成本最高,每次資料外洩約為 713 萬美元;美國的國家平均成本為 864 萬美元,居全球之冠。
個人身份資訊(PII)的單位成本最高,每筆資料為 150 美元。同時據德勤公司(Deloitte)指出,姓名和信用卡資料等基本 PII 可在暗網上以 0.10 美元或更低的價格批量出售。
數位盔甲上的裂縫
全球疫情為世界帶來的巨大轉變讓所有人措手不及。就在一瞬間,組織被迫倉皇加快步伐,連接住家辦公室的網路、支援新裝置及確保新的協作工具儘快上線。安全問題往往留到事後解決。同時,遠距員工也在想方設法從家中完成工作。很快地,以保持生產力為藉口的安全變通方法便成了他們危險且長期的習慣。
根據Malwarebytes的報告,20% 的公司表示他們的安全漏洞由遠距員工造成,24% 的公司在全球進入隔離區之後,在資安漏洞或惡意軟體攻擊方面花費未列入預算的資金。
那麼,一切是從哪裡開始崩塌的?事實證明–幾乎每一處都有。讓我們來檢視數位盔甲上的其中一道「裂縫」。
裝置的一機多用
2020 年第四季的 CyberArk 遠距工作現狀調查發現,69% 的遠距員工將公司裝置作個人使用。更糟的是,57% 的員工承認讓其他家庭成員使用他們的工作裝置進行購物、遊戲或學業等非工作活動。自從 CyberArk 2020 年春季進行一個類似調查至今,這種危險的裝置共用活動已幾乎翻倍成長。
據估計,每 36 個移動裝置便有 1 個安裝高風險應用程式。當員工在其裝置上從事工作及休閒活動時,這些安全漏洞便為攻擊者提供潛在入口,以竊取憑證並在組織內取得立足點。攻擊者正積極鎖定這些 Web 應用程式:2020 年 Verizon 資料外洩調查報告指出,Web 應用程式入侵事件的百分比高達 43% ,比去年同期成長兩倍。其中 80% 以上的案例使用竊取的憑證。
簡而言之,員工越頻密使用個人裝置進行工作(或使用工作裝置進行個人活動),對組織構成的風險越大。此情況仍在持續,而且比比皆是。
但是,即使遠距員工已遵循最佳安全實踐做法並嚴守公司協定,也很難在大量合法的工作電子郵件之中發現一封詐騙郵件。CSO報告有 94% 的惡意軟體透過電子郵件發送,而且通常經過精心偽裝。
所以,我們能做些什麼?
每 39 秒便有一次網路攻擊。到了 2021 年,網路犯罪的一年損失總額估計為 6兆美元,而今年的全球勒索軟體損失總額估計為 200億美元。
根據Ponemon Institute指出,儘管人們的認知度不斷提高,但 2020 年發現一次資料外洩事件的平均所需時間仍長達 207天。接著,從發現到遏制平均還需要 280 天,足以讓攻擊者破壞或傷害企業組織。
墨菲定律說「凡是可能出錯的事總會出錯。」這便是假定您已被入侵並專心投入阻斷攻擊鏈如此重要的原因。這意味著您必須辨識、隔離並遏阻威脅者侵佔身份及取得特權,免其為非作歹。
在善惡對決的數位世界裡,需要做的事還很多,卻沒有足夠的網路安全專業人員去執行。Cybersecurity Ventures估計,到了 2021 年將有 350 萬個網路安全職缺。為了滿足不斷提高的需求及解決網路安全勞動力短缺問題,全球勞動力還需擴充 145%。
根據 ESG 和資訊系統安全協會的一項近期研究,此人力短缺問題將會越來越嚴重。該研究顯示,70% 的網路安全專業人員表示他們的組織從工作量增加、職位空缺及專業人員無法充分學習或運用網路安全技術等現象感受到技術短缺的影響。此外,這項研究中有 18% 的網路安全專業人員從事此領域的工作長達三年或以下,並且大多從 IT 專業人員做起。
ESG的結論是,從整體環境著手有助於縮小此差距,因此應從公立學校開始提供持續的網路安全教育,並隨著網路威脅的不斷進化發展,為新進及資深專業人員提供職涯規劃、計劃與發展。
無論情勢有多急迫,這件事也不可能一蹴而就。
既然沒有超級英雄隨時出動拯救世界,組織必須學會像攻擊者一樣思考,並認定其系統已經被入侵,而不是假設(或希望)能倖免於難。這沒有聽起來那麼嚴峻:調整心態及抱持積極主動的態度便是邁向更強大安全態勢最關鍵的第一步。