數位轉型讓許多企業在新冠肺炎(COVID-19)疫情期間存活了下來,但卻也引來了一些重大的網路資安事件,其影響甚至到了 2021 年都還普遍感受得到。在 2021 年度網路資安報告當中,我們回顧了過去一年資安情勢當中一些最重要的資安議題和趨勢。
去年期間,趨勢科技偵測並攔截了超過 940 億次的威脅,遏止了全球各地許多處心積慮尋找企業資安漏洞的駭客。我們在 2021 年度網路資安報告「 因應資安新局勢」當中,回顧了過去一年資安情勢當中一些最重要的資安議題和趨勢。
重點預覽
勒索病毒更常瞄準關鍵產業駭客瞄準雲端環境的組態設定錯誤電子郵件攻擊演變成更複雜的威脅針對新、舊漏洞的攻擊依然猖獗企業需要多層式防禦來防範棘手的威脅
根據趨勢科技多年來對勒索病毒活動的觀察,我們發現勒索病毒集團已捨棄以量取勝的策略,轉而專挑一些更有利可圖的目標下手。現代化勒索病毒通常會花費更多時間和精力來規劃攻擊並進行偵查,同時會針對目標系統而量身打造出客製化攻擊手法,以便能夠癱瘓目標。
繼續閱讀除了俄羅斯與烏克蘭之間的實體衝突之外,來自多個網路犯罪集團的網路攻擊似乎也在持續增加。趨勢科技的研究團隊已根據內部資料和外部報導進行了詳細的查證和檢驗,藉此提供準確的資訊來加強抵抗這些攻擊。而隨著事件的持續發展,我們也將不斷更新這篇部落格文章來提供經過查證的威脅資訊。
俄烏衝突相關文章:
禁止銷售俄羅斯石油是否將引來更多網路攻擊?
在國際間發生重大事件的不確定時期,如何確保上網安全?
2022 年烏克蘭網路攻擊:網路資安地緣政治
全球網路攻擊:混亂的時代如何妥善管理風險 ?
資安警示:面對全球網路威脅動作頻頻之際的資安改善建議
自從 2022 年 2 月 24 日爆發以來,俄羅斯與烏克蘭的軍事衝突目前仍陷入膠著,除了地面上的實體戰鬥之外,據報網路上也出現了各種由個人、駭客集團、甚至是國家級駭客組織所發動的網路攻擊。
在資訊滿天飛的情況下,人們很難確認這些網路攻擊的真實性,更別說追溯這些攻擊的來源是由哪些個人或團體所為。而且,在網路上散播假訊息是一件非常容易的事,由於資訊在這場衝突當中扮演著重要角色,因此各路人馬都有理由藉機散播假訊息。除此之外,更有一些未直接涉入這場衝突的駭客集團也趁勢作亂。
繼續閱讀Codex 程式碼產生器作為一個訓練工具的用途有多大?
2020 年 6 月,非營利人工智慧研究機構 OpenAI 推出了第三版的 Generative Pre-trained Transformer (GPT-3) (生成式預先訓練轉換器) 自然語言轉換器,在科技界掀起了一番波瀾,因為它具備神奇的能力,可產生足以讓人誤認為是真人撰寫的文字內容。不過,GPT-3 也曾針對電腦程式碼來做訓練,因此最近 OpenAI 釋出了一套專為協助程式設計師 (或者可能取代程式設計師) 的特殊引擎版本叫作「 Codex」。.
我們藉由一系列的部落格文章,從多個面向探討 Codex 的功能在資安上可能影響一般開發人員和駭客的特點,本文是該系列文章的第四篇,也是最後一篇 (前面幾篇在這裡:第一篇、 第二篇 、 第三篇)。
Codex的訴求主要還是用於「輔助」程式設計:一個讓程式設計師在處理一些重複性工作、學習新的技能以及解決重複的已知問題時可節省時間和力氣的工具。
繼續閱讀電信 (telecommunications)是 IT 研究 200 年來的其中一個領域。趨勢科技最新的一份研究報告「電信孤島的 IT 風險」(Islands of Telecoms: Risks in IT) 將電信比喻成 IT 大洋中的孤島,這些看似零散的島嶼,其實海床底下連接著更大的一片大陸。的確,儘管不同電信功能之間看似截然不同,但集合起來,就構成了整個電信領域的基礎。
以下的段落將說明這份研究概要中指出的企業與電信業 IT 基礎架構特性及潛在資安威脅,並提供一些資安改善的建議。
語音通話攔截
語音通話依然是人們最信賴的一種通訊方式,然而,駭客還是有辦法駭入電信業者所信任的環境、基礎架構,以及電信業者之間的互連與互信來發動各種遠端攻擊。駭客若能駭入境外國家的電信基礎架構,還可轉接和攔截語音通話。駭客可能的攻擊情境很多,其中之一就是在一些裝有小型合法基地台的室內私人空間 (如酒吧),使用戰鬥手提箱 (war box) 內的惡意基地台來攔截資料通訊和語音通話。
由於一般人大多信賴語音通話,所以駭客會攔截 (或竊聽) 一些高價值對象的電話,例如:企業 CXX 級主管、重要政治人物、律師、記者、激進份子等。這類攻擊不僅能繞過資安防護,還能竊取一些可利用的高價值資訊,藉此影響談判或交易的結果。
繼續閱讀