語音釣魚(Vishing,結合了網路釣魚和語音)是一種社交工程(social engineering )詐騙,攻擊者會偽裝成他人來打電話給受害者,目的是為了騙取個人資料或金錢。
語音釣魚經常以緊急,甚至帶有脅迫性的電話形式出現 – 像是受害者的帳戶被盜,來電者需要密碼來驗證身份。他們也可能聲稱代表如美國國稅局或社會安全局等政府機構打這通電話。“比較友善”的語音釣魚會嘗試另一條路線,像是通知受害者贏得了一些獎品。
語音釣魚跟社交工程息息相關,通常是利用受害者心理來說服他們採取行動。語音釣魚詐騙者會用威脅或獎勵的方式來讓受害者覺得自己必須服從。受害者經常會收到威脅性的語音郵件,出現像是法庭案件或凍結帳戶等內容。
【2022年12月1日,台北訊】智慧家居市場規模連年攀升,民眾透過Wi-Fi網路串連家中裝置打造智慧家庭,經由設備紀錄生活數據提升整體生活品質,根據英國研究機構Omdia報告註1指出,2025 年全球智慧家居市場規模上看 1,785 億美元。然而,網路串連家用裝置為民眾帶來便利的同時也為駭客帶來更多有利可圖的機會,網路犯罪分子可能透過裝置漏洞或破解預設密碼入侵家用網路,將裝置導向惡意網站或是窺探個人隱私,造成重要資訊外洩甚至金錢損失等危害。根據趨勢科技智慧網安管家裝置統計,過去一年台灣家庭中連網裝置被偵測到發生資安事件的比例為 34.6% ,亦即每三台家用連網裝置就有一台可能面臨資安威脅風險,比例甚至高於日本、美國等國家。為守護智慧家庭生活安全,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 宣布推出全新「第二代智慧網安管家」,輕巧簡約設計搭配連網安全防護、連網裝置控管及家長防護三大功能,保護全家大小遠離網路威脅。此外,即日起至12月31日,新購送700元7-11 電子禮券,再抽網路攝影機,為家中所有連網裝置與上網行為做全面防護。
趨勢科技針對美國、德國、日本的 900 多名 ICS 資安領導人做了一份問卷調查,深入了解個別產業所面臨的挑戰,並提出了建議。
趨勢科針對石油天然氣、製造、電力/能源產業的 2022 年工業網路資安現況進行了一份研究。這份研究調查了美國、德國、日本的 900 多名工業控制系統 (ICS) 業務和資安領導人,探討個別產業的特性,以及未來促使各產業提升其網路資安的動機和外在因素。此外,我們也根據產業目前的現況,就製造和生產環境提出一些趨勢科技的建議。
有關石油天然氣產業的分析請看這ac篇。
製造業是許多國家的關鍵產業之一,在已開發國家,科技公司會不斷研發高附加價值的產品來維持競爭優勢。此外,隨著勞動成本不斷上漲,工業機器人也正在崛起。向來以效率和創新至上的製造業,目前正在利用資訊技術 (IT) 來將營運技術 (OT) 現代化。
然而在生產力優先前提下,資安經常淪為配角。德國工廠及日本汽車製造廠因網路攻擊而關閉營運的事件在全球時有所聞。以下摘錄趨勢科技所做的一份製造業資安趨勢調查報告內容來跟大家分享。
內容大綱
1.1 網路攻擊所造成的停機時間較短,且換算下來的損失金額也比其他產業來得小。
製造業因網路攻擊而導致的系統停機時間平均為 5 天。其中,50% 的受訪企業表示他們的停機時間在 3 天以內,15% 表示他們的停機時間只有 1 天或更短,這樣的停機時間似乎比其他產業來得短。
另有 12% 表示其停機時間為 8 天或更多,但這比例仍遠低於石油天然氣產業的 28%。從這點來看,製造業因網路攻擊所造成的損失金額在此研究調查的三大產業當中最低,大約是整體平均值的三分之二左右,而且只有石油天然氣產業的一半左右 (石油天然氣產業最高)。
製造業的工廠大致可分成「組裝製造」與「流程製造」兩大類。其中,當偵測到異常狀況時,組裝製造相對上比較容易切斷部分或全部的網路連線。因此可以推測其事件回應相對上可在較短時間內完成。而且,由於其系統可以很快重新啟動,所以網路攻擊所造成的財務損失也可降低。
1.2 「暴露在外的應用程式或雲端服務遭到攻擊」是最常見的攻擊型態,系統經常因網路攻擊而被迫停止運作。
針對受訪者如何處理各種網路攻擊,我們針對受訪者回答「我們無法攔截這類攻擊因此必須回應該事件」的攻擊情況加以統計之後發現,製造業最常發生這種情況的攻擊類型是:外部應用程式和雲端服務遭到攻擊 (32%),其次是經由可卸除式媒體感染惡意程式 (30%)。最不常發生這種情況的攻擊類型是:經由遠端存取的攻擊 (15%)。
組裝製造業的特性是會從各種廠商採購與導入各種設備。想像一下,由於數位轉型的推廣,雲端普及率與 IoT 裝置數量都在增加。數位轉型雖然可以讓新技術快速導入,但卻也增加了駭客的入侵點,使得完整的風險評估與事件回應變得更加困難。
就連流程製造業也正在慢慢推廣數位轉型,即使是在某個工廠內部推出新的服務,完整的資安管理仍不可少。
1.3網路資安改善作為不足
當被問到所屬企業在事件發生之後是否有對網路資安進行改善,56% 的受訪者表示「我們永遠/通常會做一些改善。」這樣的比例雖然比其他產業略高,但仍顯不足。
如前面提到,有可能是因為停機時間較短,許多事件都在短時間內就處理好,但也有可能是因為問題並未經過充分調查就已復原。在這情況下,您未來還是可能會因為同樣原因而遭到攻擊。
1.4 改善資安的主要動機是防止事件重演,其次是建置 5G
我們針對「過去」(以調查時間 2022 年 2 月至 3 月為準) 及「未來三年」兩個面向,詢問受訪者在建置網路資安措施時的兩大原因。結果顯示第一大原因的是「因為我們要防止特定資安事件重演」,同時也會持續關注如何預防及改善。
第二大原因是已經建置或計畫建置 5G,且「未來三年」較「過去」的比例也成長最多。德國已超過業界平均值,日本則成長了 7.2 百分點。此外,回答「遵循產業規範」的比例也很高。
問題 20:您覺得您企業在未來三年之內建置網路資安措施來保護您 ICS/OT 系統的兩大原因為何?(NB:可複選)
以下探討這些調查結果的原因和背景。
製造業防止事件重演的意識很高,其中一個原因是,製造業原本就有很高比例已經建置了一些改善流程來持續提升生產力,所以資安的改善也可以放到同樣的系統上。值得注意的是,這比例在美國、德國和日本最高,全都超過 31%,而且不向其他國家有高有低。所以,這在該產業是一個普遍的問題。
比較「過去」與「未來三年」企業建置資安措施的原因,5G 計畫這個原因在日本的成長幅度最多,上升 7.2 個百分點。我認為日本之所有這麼大的變化,原因有兩個:一是導入 5G 的效益增加,二是 5G 基地台發照的條件之一就是資安措施。
日本總務省 (Ministry of Internal Affairs and Communications) 從 2020 年 12 月起將本地 5G 系統使用的頻段從 4.6 GHz 擴展到 4.9 GHz,不僅傳輸的距離很長,而且政府為了推廣 5G 還提供了優惠的稅率,進一步增加 5G 的效益。
總務省將網路資安措施 (包括供應鏈風險) 列為某些 5G 基地台開發計畫的審核條件之一。本地的 5G 在發照時應該也會採取同樣條件。
5G 在德國的關注度也居高不下 (31.4%),在德國,自 2016 年起就已經開始規劃和實施的自主式去中心化企業間合作機制 (GAIA-X),預計將在 2021 年全面動起來,而這也是德國政府及 歐盟整體的行動通訊策略。
在提倡數位歐洲計劃的投資背景下,我們正在積極推動 5G,在此同時,資安的意識也相當高。「建置雲端系統」也是一個有相當高比例受訪者回答的原因,所以也有必要分析其導入時的風險與威脅,以免在導入新技術時產生新的資安風險。
以下摘要這份研究報告的重點:
根據以上研究結果,趨勢科技提出以下幾點管理及解決製造業資安挑戰的建議給資安長 (CISO):
訂閱資安趨勢電子報
如需有關 ICS 端點威脅的更多資訊,請參閱此處。
如需這份研究報告的完整版,請至此處下載。裡面詳述了製造、電力及石油天然氣產業所面臨的挑戰、原因,以及工業網路資安的現況。
原文出處:Manufacturing Cybersecurity:Trends & Survey Response 作者:Mayumi Nishimura
繼續閱讀看看紅隊演練/攻擊演練 (Red Teaming) 如何降低資料外洩成本,並且讓不斷擴大的數位受攻擊面風險降至最低。
今日企業的資安重點主要在管理數位轉型所衍生的複雜性,以及資料隱私與法規遵循的問題。隨著數位受攻擊面不斷擴大以及 遠距上班員工不斷增加,資安團隊已明顯感受到一股危機。但有一點卻經常被人忽略,那就是駭客的技術日益精進,而且經常能搶占先機。
所謂「紅隊演練/攻擊演練」(Red Teaming) 就是找一組人扮演駭客,模擬駭客對企業發動網路攻擊,製造一種相當於遭遇駭客攻擊的情境來考驗企業的防禦,並且累積第一線事件回應的經驗。
像這樣經過詳細策劃、由專家執行、並且在嚴密監控下模擬真實情境的攻擊演練,是為了找出企業的網路資安弱點。事實證明,經由這類演練所獲得的情報,對於改善企業的資安防禦非常有價值,而且能提高真實駭客突破企業防線並造成破壞的困難度。不僅如此,IBM 的 2022 年資料外洩成本報告也指出,攻擊演練平均可降低 204, 375 美元的整體成本。
繼續閱讀本文探討面對持續升高的漏洞攻擊威脅,企業在修補更新管理方面應採取什麼最佳實務原則。
在今日這個數位優先的世界,良好的修補更新管理對企業來說非常重要且不容忽視。根據身分盜用資源中心 (Identity Theft Resource Center) 的 2021 年資料外洩年度報告指出,該年確認的資料外洩案例總共 1,862 件,比 2020 年成長 68%。此外,2022 年資料外洩調查報告也發現,在這些資料外洩案例當中,因漏洞而導致的資料外洩事件數量較前一年增加 7%。
繼續閱讀