做和中小企业应加强防护以应对网络攻击

中小企业应加强防护以应对络攻击

近年台湾资安事件层出不穷，造成国民个资外泄、电子商务及金融业营运损失、企业面临骇客攻击，更对国土安全形成威胁。为加强台湾中小企业防范资安攻击事件，经济部工业局委托工业技术研究院执行「资通讯安全产业推动计划」，针对台湾资安事件与需求进行调查，并归纳出十大国内资安事件，分析常见资安事件与案例，呼吁企业与个人提升危安意识，并提供资安解决方案，协助企业强化资安防护解决方案，将风险与成本降到最低。

随着科技的演变及企业营运模式的改变，资安防护的复杂度也日益增加，导致企业必须投入更多资源在建置资通讯安全，以确保公司机密资料不外泄并维持企业商誉。因此，资安逐渐被列为企业营运重要规划的一环。然而根据资安通讯安全产业推动计划研究发现，2013年台湾企业基于资安预算有限，会考量集中投资在优先度评估较高的部份资安方案，但也形成缺少全面性资安防护的窘境，使公司暴露于潜在风险之中，不只使资安事件发生的频率日益上升，损失金额更是倍增。根据美国络犯罪申诉中心（ Internet Crime Complain就相当于吸纳了4分之1的粗钢多余产能t Center，IC3）公布「2013年利用面更广络诈骗活动报告」，IC3 所收到的络诈骗申诉案件自2005年起的23.1万笔成长到2013年的26.2万笔，损失金额更从1.8 亿美元成长到7.8亿美元。

资通讯安全产业推动计划主持人黄维中指出：「中小企业应重视投资资安解决方案，台湾有许多优秀的业者提供符合成本效益的资安服务，协助中小企业针对恶意攻击进行事前预防、事中因应与事后处理。企业应将资安与企业获利并列为重要营运目标，将资安视为保护公司重要资产的必备工具，才是有效降低风险与避免付出更高代价的最佳方法。」

经济部工业局资通讯安全产业推动计划列出十大常见资安事件与案例，做为中小企业借鉴，期望中小企业能以更积极谨慎的态度面对资安威胁。此外，经济部工业局资通讯安全产业推动计划为了协助中小企业缩短资安规划时程就是利用摆锤冲击试样前后的能量差来肯定该试样的韧性活脆性.它的特点是冲击力大,效果工夫短,转变快，也推荐台湾优良资安解决方案厂商，与资安厂商资料，期望能使中小企业强化资安体质，提高商业竞争力。

1. 资料外泄--经由内部或外部不适当或未经授权之方式，存取、使用或修改资料，并且会直接或间接地对持有该资料的组织、企业或个人，造成有形与无形负面影响之事件。

案例：2013年2月，台湾Nokia的5个委外行销站遭骇，17万笔个资被公开，150万笔存有风险。

2. 进阶持续性威胁（Advanced Persistent Threat，APT）攻击事件--骇客以组织性移动并出于经济利益或竞争优势，以超过目标防护能力并具有复杂和多样性的手法，针对单一企业或机关进行客制化且持续性的攻击。

案例：国际骇客组织以微软RTF程式漏洞，针对台湾企业及政府单位发送夹带后门的热门议题（如服贸）电子邮件，以窃取目标机密资料。

3. 分散式阻断服务（Distributed Denial-of-Service Attacks，DDoS）攻击--骇客借由分散的攻击方式，联合络上能发动阻断服务（DoS）的复数主机同时发动攻击，占用或耗光目标对象主机或系统的资源或服务，让系统的可用性降低，导致一般使用者无法正常使用系统或主机所提供的服务。

案例：2013年5月，台菲渔船枪击事件引发台菲键盘战争，台湾遭菲律宾骇客以DDoS攻击后反击，台湾在此事件中包含总统府、外交部、国防部、海巡署等站皆遭到DDoS攻击，也有部份台湾民营站瘫痪。

4. 资料库遭骇--企业或组织存放营运所需资料的资料库，遭内部或外部不适当或未经授权之方式存取、使用或修改，造成被骇对象有形与无形负面影响。

案例：2013年5月19日，台湾Groupon站资料库遭攻击，台湾会员数约380万，其中估计有一成会员的电子信箱帐号及密码可能被盗。

5. 社交工程邮件诈骗--利用民众疏于防范的心理，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取用户系统的秘密。

案例：2013年5月，骇客假冒健保局名义，以二代健保为诱饵，寄发社交工程邮件给中小企业。刑事局于5月27日宣布侦破，以妨害电脑使用罪将嫌犯移送法办。

6. 或即时通讯信息诈骗--针对智慧型或平板等智慧型移动装置植入病毒、木马等恶意程式；或通过传送诈骗讯息以存取、复制、删除移动装置中的个人资料、帐号密码；或取得系统权限寄送用户不知情的付费简报或拨打高额付费；或通过传送位置、开启装置镜头摄录、降低装置执行效能，或直接窃取目标装置等，甚至用户本身遗失装置，也都属于此事件的手法。此类事件多造成用户资料外泄、财务损失、装置瘫痪或遗失遭窃等。

案例：2014年4月，因为露天拍卖设立帐号认证机制，并提供0809认证，却反而被歹徒用来结合LINE诈骗，把不知情的民众当成拍卖家人头，被害人等到警方找上门，或者被买家 追杀 ，才发现自己不小心成了诈骗集团共犯。

7. 恶意程式威胁--所谓恶意程式威胁事件，泛指有心人士刻意撰写具备恶意企图的程码，包含电脑病毒、蠕虫、木马、间谍软件、广告软件等种类，造成的影响如破坏系统正常运作、耗尽电脑资料、修改或破坏系统设定、复制或删除档案、让系统当机、窜改程式资料、监控电脑活动等隐私侵害、散布广告等。

案例：2012年4月，出现针对Mac电脑的Flashback木马程式变种，经由Mac OS X系统的Java漏洞感染，主要目的为窃取个人资料，全球有60万台Mac电脑感染。

8. 站（页）遭骇--站被植入恶意程式、或被瘫痪无法正常运作、或原本页面被置换成其他页面、或站被藏入导向至特定页面。

案例：2013年7月，苹果电脑（Apple）之拥有600万会员数的开发者站遭到入侵，导致部分会员的个资可能外泄。

9. 身分帐密遭盗用--恶意人士通过如恶意程式、社交工程、站系统漏洞等方式，取得目标对象之帐号密码的事件。

案例：2013年10月，软件业者奥多比（Adobe）在部落格中坦承公司系统遭骇客攻击，骇客除了取得部分用户资讯，包含使用者帐户密码、姓名、信用卡号码等重要资讯，也取得Acrobat、ColdFusion等部分Ad电磁离合器应吸合obe产品的原始码，个资可能外泄的用户达290万。

10. USB威胁事件--通过藏有恶意程式之USB随身碟感染目标企业、组织或人员的电脑或装置，进一步入侵目标对象之系统并窃取机密资料、瘫痪系统。

案例：某位员工利用传输线将连上PC的USB port充电，导致原先潜伏在里的恶意程式（DroidCleaner），将恶意档案传送到公司的PC设备上。