標籤: 企業資安

幾年前，自從某些廠商開始推出「以服務供應」(as-a-service) 的解決方案之後，這類供應模式便迅速開始蔚為風潮。現在，軟體服務 (SaaS)、基礎架構服務 (IaaS) 及平台服務 (PaaS) 等皆已經成為企業 IT 的重要構成元素，從市場規模即可證明。

根據 MarketWatch 指出，全球軟體服務 (SaaS) 市場預計將以超過 20% 的年複合率成長 (CAGR) 持續發展，至 2024 年將達到 1,858 億美元的規模。而 Allied Market Research 也指出，IaaS 市場的 CAGR 甚至更高，將以 25% 的速度持續成長至 2023 年，達到 9,200 萬美元以上的規模；至於 PaaS 市場，Market Research Future 則預測將於 2022 年達到 121.2  億美元的規模，CAGR 高達 26%。

以服務供應的模式的確能帶來相當多的好處，包括：前期投資更低、關鍵解決方案運轉率及效能更穩。因此，不難理解地，不論任何規模或任何產業的企業，目前都一窩蜂地採用這類以服務供應的產品，且不僅侷限於前述幾項服務。

這樣的現象也出現在網路犯罪集團。現在已有一些專門的網路犯罪服務可讓犯罪集團在滲透企業、竊取資料或賺取不法獲利時變得比以往更加方便容易。讓我們來看看幾項目前最新的網路犯罪服務，以及這些對企業資料安全有何影響。

勒索病毒服務 (RaaS)

目前，網路犯罪地下市場提供了多種不同的惡意程式與網路攻擊服務，但其中最可怕的是勒索病毒服務 (Ransomware-as-a-Service，簡稱 RaaS)。

趨勢科技在這股趨勢剛成形時 (2016 年) 即曾發表過相關的報告，並指出某些勒索病毒 (例如一個名為「Stampado」的勒索病毒) 正在深層網路 (Deep Web) 上販售。當時，駭客以 39 美元的價格提供勒索病毒樣本以及「終生授權」。

趨勢科技在當時的資安新聞部落格中指出：「這正是『勒索病毒服務』(RaaS) 的運作方式，現在，網路論壇上到處充斥著各種自己動手做 (DIY) 的勒索病毒套件，就算是完全沒有技術背景的人也有辦法獨自發動一波勒索病毒攻擊。」

繼續閱讀

2019 臺灣資安大會明天登場，趨勢科技主題演講：【恐懼的總和－當關鍵基礎建設掌控於駭客股掌之間】精采預告：

大眾交通、電力公司，這些攸關經濟民生的基礎建設，在駭客眼中是如何不堪一擊💔，由資安大會最受歡迎講者張裕敏，帶您認識駭客最新技術、檢視既有資安缺口，邀請您一聽為快😄

此外，我們還有 14 場精采演講＋6 場Hands-on Labs（Target Ransom－無須惡意程式的目標式勒索攻擊手法），敬邀參加！ 看詳細議程

新的一年一開始就出現了關於超過20億筆來自過去多年資料外洩事件的大規模使用者帳密資料流出的報告。這份資料（稱為「Collection #1」）包括了純文字格式的使用者帳密及敏感文件，全部為87GB。據報在12月的最後一周就可以下載，在駭客論壇上被積極地交流著。某些報告指出將會有更多資料包在網路上公布和販賣，每份都有比第一份更多的個人帳密和敏感資料。Collection #1已經被拿掉，但對許多資料被流出的人來說，造成的影響才正要開始。

[延伸閱讀：資料外洩101：它如何發生，被偷了什麼及會流到哪裡去]

Collection #1包含了超過7億筆不重複的電子郵件地址和超過2,100萬筆的明文密碼。有了這些資料，線上惡意活動可能會跨界成線下的犯罪活動。如果使用者在不同網站使用了相同帳密，那Collection #1將會造成很大的傷害。從社交工程social engineering ）攻擊（如網路釣魚(Phishing)和詐騙）到身份竊盜和勒索郵件，個人甚至於企業的損失都會呈等比級數增加。發生資料外洩事件的企業不僅可能因GDPR或其他法規而被罰款，還可能會失去客戶的信任、收益和商譽。個人也會成為詐騙和網路攻擊的目標，且因為不安全感而讓自己在網路上的活動受限。

現在越來越多的新科技讓人們可以無時無刻的保持連線，也因此製造了大量的數位足跡和資料儲存，網路犯罪分子的攻擊媒介也在增加。這代表使用者和企業都必須優先考慮網路隱私和資料安全。

[延伸閱讀：2018年的三大資安故事]

企業的積極保護措施

企業仍是網路犯罪份子想獲取最大利潤的首選目標。一次成功的企業系統入侵事件就讓駭客有可能存取到資料的寶庫：內部伺服器、專有資料、公司資產、第三方供應商和客戶記錄。以下是企業保護資料及使用者和客戶隱私的六個做法和原則：

繼續閱讀