CLOUDSEC 2018高峰論壇今日正式開幕 網絡攻擊持續進化

CLOUDSEC 2018高峰論壇於今日正式開幕，駭客技術持續提升，防禦愈來愈複雜。全球網路資安解決方案廠商趨勢科技 (東京證券交易所股票代碼：4704)，於本月23日舉辦CLOUDSEC 2018企業資安高峰論壇，今年論壇以「Freedom to Connect」為主題，探討數位轉型在即，全面連網讓IT與各產業成長的關係更加緊密，例如製造業引進智慧工廠概念，運用雲端及AI提升資訊整合與產能；然而面對獲利導向的駭客惡意攻擊，企業該如何應用資訊安全技術及建立資訊安全架構，是不可忽視的議題。因此，趨勢科技全球安全研究副總Rik Ferguson將於會中分享新興科技、法規與IT交互影響所帶給企業的資安風險，以及企業在數位轉型中所應有的資安思維。同時，今年趨勢科技也特別邀請到零時差計畫(Zero-Day Initiative, ZDI) 資安計畫經理Shannon Sabens與會分享漏洞攻擊的新趨勢，以呼籲企業在行動及聯網時代應重視漏洞防禦機制。

IT技術進步創造自由連結，駭客攻擊事件頻傳，企業應將資安納入長期營運策略

根據趨勢科技最新資安報告指出，2018年上半年共發生15起每件超過百萬筆資料遭竊取的企業資安事件，相較於2017下半年的9起大型資料外洩事件有顯著攀升的趨勢，顯見駭客對於盜取企業機密資料的野心仍未停歇。趨勢科技全球安全研究副總Rik Ferguson表示：「AI、IoT與IIoT的技術發展逐漸普及，驅使數位資料應用與企業營運更為緊密連結。國際間對於資料保護規定的推行，例如歐盟的一般資料保護規定 (General Data Protection Regulation, GDPR) 上路，已影響並推動企業對於資訊安全管理的策略。」 Rik Ferguson也提出，過去駭客影響企業資安的手法依然盛行，如假借企業高層身份或是關係企業要求匯款的商業電子郵件詐騙(Business Email Compromise, BEC)，抑或運用勒索軟體入侵企業內部系統，盜取商業機密或客戶資料要求企業支付贖金等犯罪形式。此外，今年上半年急速攀升的挖礦惡意軟體更對企業系統產能造成影響。Rik Ferguson呼籲企業應將任何潛在資安風險納入考量，把資訊安全政策納入長期營運規劃，並透過全方位資安架構佈建及持續性的資安教育，才能真正將資安落實在企業營運各層級中。

趨勢科技台灣暨香港區總經理洪偉淦也表示：「企業在面對持續嚴峻的網路威脅態勢下，已無法完全免於網路攻擊的風險中。綜觀國、內外企業受駭案例，無論駭客使用無法預測、精密的入侵手法，抑或使用已有眾多前例、常見的入侵手法，都讓資安人員在進行網路防禦時會有百密一疏的風險；趨勢科技團隊亦使用常被用來解釋金融市場現象的『黑天鵝效應』與『灰犀牛效應』來提醒企業，資安觀念除了建立更需要被實踐，即使是發生機率不高而被人們輕易忽略的資安危害，或是屢屢被提及卻不被重視的資安問題，都可能讓身處在萬物連網的企業陷入高風險中，因此企業須建立正確網路防禦思維，網路防禦策略才能發揮效益。」

ZDI零時差漏洞懸賞計畫延攬全球漏洞研究人才，提供廠商漏洞情報即時更新修護

在CLOUDSEC 2018企業資安高峰論壇中，首度來台的零時差計畫(Zero Day Initiative, ZDI)資安計畫經理Shannon Sabens在分享內容中提到，ZDI成立至今13年來已經與全世界80多個國家、超過3500名獨立研究人員合作。根據Frost & Sullivian統計註一2017年在全球漏洞研究市場中有高達66.3% 的漏洞是由ZDI提供，並累積至今已有4500項漏洞得到廠商修補。最近更推出針對性激勵方案(Targeted Incentive Program, TIP)，鼓勵研究人員針對重要伺服器產品提出漏洞攻擊研究報告，協同防禦企業資安。

綜觀ZDI所取得的漏洞研究報告，Shannon Sabens亦分享了4項當前漏洞趨勢(1)企業軟體的漏洞數量持續上升, (2)資料採集與監控系統(Supervisory Control And Data Acquisition, SCADA)漏洞隨著物聯網的應用，被關注比例也因此提高, (3)瀏覽器上的即時編譯器(Just-in-Time, JIT)弱點成為新的使用已釋放記憶體(Use-After-Free, UAF)的漏洞，駭客得以入侵執行惡意程式進行不法行為, 以及(4)虛擬化軟體漏洞的浮現趨勢。除了漏洞趨勢分析，ZDI也希望藉由揭露更多漏洞報告，促使供應商加速更新修護程式，以減少駭客的不肖利用，提升企業資訊安全。

擁抱數位轉型！企業應導入防禦方案，啟動全面性的資安防護

CLOUDSEC 2018企業資安高峰論壇現場展示了針對金融產業、製造產業及政府部門三大產業的資安情境提出解決方案；亦規劃了有如親臨實境的VR資訊安全戰情室體驗，讓資安管理人員可快速按照企業重視議題獲得監控與交叉分析資料，透過VR畫面呈現可更直覺的獲得企業內正發生及潛在的威脅資訊，評估危險等級以及優先處理程序，即時通報相關部門負責人，啟動最即時的防護機制以消除或防範潛在攻擊威脅。

在物聯網趨勢下，企業實體與虛擬裝置以及雲端互相串聯，在追求連網便利與彈性的同時，任何產業皆可能因企業員工不慎或是駭客攻擊，成為駭客攻擊的受駭者，影響企業正常營運以及財物損失。為協助企業掌握物聯網浪潮並因應未來挑戰，趨勢科技憑藉卓越情報優勢與專業技術，從端點、網路至雲端防護提供企業多層次的防護解決方案，再加上最新威脅偵測及回應託管式（Managed Detection and Response, MDR）服務，結合AI輔助高危險威脅偵測以及交叉關聯，自動化回應協助企業有效降低資安風險。最後，趨勢科技也再次呼籲企業，在全面連網的時代下，唯有強化專業資安防禦策略，才能在數位轉型時代Freedom to Connect，邁向產業升級。