主動出擊，更能聰明避險

根據跨國資安公司Gemalto最新統計，2015年，光是資料外洩事件，全球已知的就高達1,673起，累計7億多筆資料外洩，平均每天至少發生4起。

從去年2、3月兩大醫療保險業者Anthem和Premera，就有近億人受害。年中美國政府也發生有史以來最大規模的資料外洩事件，美國人事管理局外洩了420萬筆公務員資料以及2千萬筆民眾個資，不只從事機密工作的情報員身分曝光，連無法更換的指紋資料都外洩了110萬筆。美國國稅局也因身分驗證機制遭矇騙，不只遺失33萬多名美國民眾稅務資料，還遭詐領退稅款高達15億元臺幣。

個資外洩事件也動輒變成跨國災情，去年底玩具商VTech外洩的420萬筆孩童個資甚至包括照片，影響就超過14國。知名連鎖飯店希爾頓飯店POS遭植入惡意程式，旗下全球98國4,500家飯店顧客恐遭盜走信用卡資料。

搜尋技術的演進，也讓資安防護稍有不慎就會釀災，一名資安研究員，上網就能找到內有1.9億美國選民資料的資料庫，連開發資安產品的業者，也是推出Mac筆電知名優化工具MacKeeper的母公司，只因不小心設錯了MongoDB資料庫的配置，不知情下開放了網路存取權限，網路搜尋引擎就從中找到了1,300萬名用戶的帳密資料。

資安公司出事不只一起，年中發生的義大利間諜軟體開發商Hacking Team遭駭而外洩的400GB機敏資料，成了駭客人人想要的數位軍火庫，內有多項未公開的多款軟體漏洞，逼得微軟、Adobe等業者連忙修補，餘波蕩漾至今未熄，到今年初都還因此而發現了新漏洞得修補。

動輒影響上億裝置、數萬企業系統的軟體漏洞屢屢可見，尤其開源軟體盛行後的零時差漏洞頻傳，連甲骨文在年初都破紀錄一口氣釋出了248個安全更新，Google也有意收回Android軟體更新權，就為了更快修補漏洞。

iThome Security季刊2016春季號3/7上市

資安事件不只多，攻擊手法也不斷演變，APT攻擊方式層出不窮，連竊取資料的勒索軟體，也在去年轉而變成加密勒索，還出現了用JavaScript開發的勒索軟體，可以在多種平臺上執行，持續變種的勒索軟體造成各國多起重大災情，臺灣也有不少中小企業受駭，甚至付了贖金也救不回資料，最近更有一家洛杉磯醫院，HIS系統遭加密勒索軟體綁架而停擺，醫師整個禮拜都只能用人工手寫病歷，沒有系統可用。

資安事件幾乎達到天天發生的頻率，對資安事件、技術、趨勢等情報的掌握卻是越來越龐大的挑戰。但是對於忙碌的IT人而言，別說跟上每天發生的資安事件，光是周周回顧都不是一件容易的事。

也因此，我們從今年3月開始，將過去每年例行發行的iThome資安專刊，轉型為iThome Security季刊。重點集結了每一季最新資安情報、全球關鍵資安事件剖析、新興資安威脅的因應對策、安全防護新品動向等，讓IT人員一次掌握。與其遇事彌補，倒不如主動掌握關鍵決策資訊，更能採取合適的預防措施和聰明對策。