網釣攻擊成2019年最大網路威脅，Check Point資安事件團隊在臺現身說法

對於2019上半年網路威脅趨勢，資安業者Check Point在7月下旬，舉行的一場研討會上，除了過往提到的惡意程式威脅，以及雲端安全與行動安全的議題，值得我們關注的是，該公司在這次大會議程上，有不小的比例，是在談雲端郵件安全，以及釣魚詐騙問題，而過去這是郵件安全業者在關注的面向。

從近幾年的網路安全焦點來看，2017年是勒索軟體、2018年惡意挖礦，至於2019年，Check Point亞太區技術總監Andy Choy特別指出，今年最大風險是在釣魚詐騙（Phishing Scam），以及所帶來的商務電子郵件詐騙（BEC），以及帳號冒用攻擊。

釣魚詐騙氾濫，雲端郵件遭受攻擊事件頻傳

Andy Choy表示，隨著SaaS雲端應用越來越普遍，Check Point觀察到，可能更多Office 365相關的資安事件，在未來兩年發生。因為，在最近半年來，Check Point已經收到許多客戶反應，是微軟Office 365的釣魚詐騙郵件事件，根據他們的統計，在一千人規模的企業當中，每天經過雲端服務商掃描過濾後，還是會收到20多封的釣魚郵件，而且，屬於帳戶冒用攻擊的比例非常高。

Check Pointr今年特別強調企業應用SaaS服務時的安全存取問題，該公司亞太區技術總監Andy Choy指出，最近半年來，已有許多客戶反應微軟Office 365的釣魚詐騙郵件問題，根據Check Point的統計，以一個1,000名員工的公司而言，平均來說在SaaS 服務提供者過濾後，每天他們仍會收到大約20個網路釣魚郵件。圖片來源／Check Point

為了指出網釣攻擊的嚴重性，Andy Choy也引用第三方合作夥伴雲端安全業者Avanan的數據印證。這份今年4月發布的報告內容，指出在每4封網釣郵件中，就有1封能夠穿過Office 365內建的Exchange Online Protection（EOP）安全機制；而在所有偵測的5000萬封郵件中，有1%的比例是釣魚郵件；並有超過一半的釣魚郵件，包含了惡意程式，其中更有41%比例，是用於取得用戶帳密。

不僅如此，現場他也播放了一段影片，是使用開源的網釣工具GoPhish，來展示網釣郵件的威脅發動過程──當用戶收到該釣魚信，並點擊了信中連結，前往一個看似微軟的假冒網站，若是用戶沒有戒備輸入了自己的帳號與密碼，雖然用戶還是可以進入正常的Office介面，但在GoPhish的介面上，對方其實就可以看到，該用戶輸入的帳號與密碼。

為了說明網釣攻擊的現況，Check Point的資安事件反應團隊也現身說法。該公司亞太區安全鑑識分析師Tim Toa表示，在2018年到2019年第一季中，他們處理的資安事件主要類型，前五大分別是惡意軟體、勒索軟體、網釣攻擊、DDoS與Office 365郵件詐騙。

Tim特別指出，網釣攻擊是排名第一的攻擊管道，而且，近半年Office 365相關的電子郵件詐騙事件，比例大幅增加，且他們每週處理的資安事件，都有關於Office 365遭受攻擊。

由於不少企業用戶郵件上雲，但只啟用了預設的安全機制，而未採用進階的郵件安全防護。因此，Tim也給出六大防護建議，例如：採用第三方的雲端安全防護產品、防範釣魚詐騙郵件攻擊、防範帳號劫持、對外服務必須開啟多因素身分驗證機制，以及開啟所有日誌記錄，並要將資安事件回應延伸到雲端服務上。

此外，近年積極發展雲端安全的Check Point，如何強化釣魚詐騙的防護能力，也成為他們的挑戰。對此，Andy Choy指出，在他們既有的SandBlast零時差防護解決方案中，Threat Extraction（TX）在本身的功能上，已加入基於AI的防釣魚機制，更特別的是，他們還設計了防範零時差釣魚的機制，不論在行動與端點平臺，都將能針對釣魚網站中的帳號與密碼輸入框，來偵測並防護，而不是單單偵測釣魚網站的網址。

2019網釣威脅比過去更嚴重，並躍升為駭客攻擊第一管道
對於近年企業面對的資安事件，Check Point亞太區安全鑑識分析師Tim Toa指出，根據他所屬資安事件反應團隊的處理經驗，主要有五大資安事件類型，在惡意程式與勒索軟體之外，特別要注意的是，由於各式威脅都會透過網釣為攻擊途徑，該手法現也成最主要的管道，而且，Office 365郵件冒用問題，在近期增長幅度最大。圖片來源／Check Point

針對Office 365用戶的釣魚詐騙攻擊頻率更密集
Check Point資安事件反應團隊Tim Toa表示，近期他們每週都處理到客戶Office 365遭受攻擊的資安事件，顯示事態嚴重性，因此他們建議強化雲端安全防護，提升企業防範釣魚詐騙郵件攻擊與帳號劫持的能力。（攝影／羅正漢）

行動惡意軟體增加與雲端組態設定不當，將成企業挑戰

行動安全是Andy Choy強調的第二個安全議題，他指出，從近年CVE漏洞的趨勢來看，在iOS與Android平臺方面，最近三年，已經呈現大幅增加的現象。最近一個月，就有兩起影響範圍極大的事件發生，例如，在WhatsApp上出現的沒有接通電話就能監聽的漏洞，以及他們在本月，揭露了新型Agent Smith惡意軟體，能在使用者不知情的狀況下，將App內的廣告置換以牟利，還可用於竊取金融帳密與竊聽等。由於BYOD的趨勢早已成形，他們認為，行動安全容易成為企業忽略的部分。

對於近年的雲端攻擊的威脅，在先前提到的Office 365之外，也要注意駭客鎖定雲端控制層（Cloud Control Plane）入侵的新趨勢。Chick Point亞太區雲端安全銷售總監Michael Petit指出，近年駭客攻擊的三大表面：包括網路、身分驗證與控制層，其中以控制層的入侵最受關注。他指出，企業可能沒有落實資料庫加密，或帳密外洩，以及組態設定不正確而導致。

因此，他提供3大建議，首先，企業要有威脅防禦架構，其次要為開發者建立明確該做與不該做的事，第三，要幫助開發人員認識風險，知道不同環境的需求，應使用合規檢查工具幫助管理設定問題。

臺灣遭受的惡意程式攻擊高出全球平均4倍

關於惡意程式攻擊的趨勢，近年Check Point網路安全報告都有相關研究與分析，Check Point臺灣區總經理劉基章，也進一步揭露本地的惡意程式攻擊趨勢，值得注意的是，在2019上半年，臺灣面臨的惡意威脅變得更嚴重。

他表示，在今年6月，以臺灣遭受的前10大惡意程式而言，包括XMRig、Emotet、Ramnit、Dorkbot等，其攻擊次數與比例全都是全球平均4倍，而去年同期的狀況，當時的臺灣前10大惡意程式，普遍是高於全球平均2倍，威脅態勢更趨嚴峻。

Check Point臺灣區總經理劉基章指出，臺灣遭受的前10大惡意程式攻擊，高出全球平均4倍。圖片來源／Check Point

網路威脅複雜度呈等比級數增長，企業防護需跟上腳步

對於全球的網路安全威脅變化，該公司亞太區技術總監Gary Gardiner，不僅指出2020年企業將面臨的考驗，同時也點出企業防護觀念的落後。

儘管近年全球企業對於資安的支出不斷增加，但全球仍有46%的企業遭受到攻擊，並有36%消費者遺失個人資料。

為什麼有這樣的狀況？Gary Gardiner歸納了三大重點。首先，他們認為許多企業都是後知後覺，等到事情發生才回應，並對「偵測」機制有盲從心理，而不願多投資在「預防」。其次，大部分企業面對新的攻擊世代，防護沒辦法趕上腳步，例如，許多企業還停留在2010年的防火牆、防毒與IPS的防護。

最後是攻守複雜程度過高，不論是威脅發動者、威脅類型、安全解決方案，都變得越來多，舉例來說，2007年的威脅類型低於50種，但2018年則超過100萬種，另一方面，資安公司也從不到100家，變成超過2,600家。

對於全球的網路安全威脅變化，Check Point亞太區技術總監Gary Gardiner特別強調「複雜程度」過高的問題，例如攻擊向量與安全解決方案的增加，需要的技術將大幅增加。（攝影／羅正漢）

關於複雜度的問題，Gary Gardiner以防範檔案受感染，這樣的情境為例，來說明主要的入侵途徑與解決方案。例如，一般攻擊途徑可分為9個面向，包括行動裝置、網頁下載檔、公司電子郵件、共用資料夾、端點裝置、FTP、傳訊應用程式、SaaS應用程式與私人電子郵件等，而普遍的安全技術，則包括了防毒、沙箱、CDR檔案萃取、靜態分析、DLP、SSL檢查、防勒索軟體與機器學習等8種，因此，就需要72項防護的技術，而這些攻擊面向與安全技術還只是部分，若是這兩個面向，每年都增加3個類型，複雜度就會翻倍。

因此，企業在未來的資安防護觀念中，必須考量上述這些問題，才能儲備足夠力量，面對各式網路安全風險。