隨著網路技術延伸與發展,物聯網 (Internet of Things,IOT)的出現能夠幫助個人處理大小事務,更有助於企業整合資訊,人們也越來越習慣於「隨時上網」的環境,食衣住行育樂和物聯網息息相關,形成與過去不同的消費型態,改變了消費者對於生活的態度和習慣,企業也藉此機會與消費者之間有更多互動。在工業4.0概念中,企業的數位轉型不再只是選擇題,而是如何生存下去的必經之路,如同微軟執行長Satya Nadella所言:「在未來,每家企業都會是科技公司。」在智慧化的大環境之下,資訊安全管理顯得更為重要。
疫情於2019年11月出現至今,短短幾個月的時間內擴散爆發,讓許多企業與學校措手不及,企業推行在家辦公(Work From Home,WFH),學校進行遠距上課,大量地線上作業,使得「數位化」逐漸成為習慣與常態,由此更能直接地體現物聯網的重要之處。2022年11月由OpenAI基金會所研發的ChatGPT首次推出,為人工智慧(Artificial Intelligence,AI)技術發展寫下重要一頁,它的加入,讓「數位化」更有效率,然而數位應用也帶來諸多問題,包含惡意軟體攻擊、資料外洩等等可能的資訊安全問題。
網路無處不在,網路攻擊發生頻率增加,於美國成立的資安公司Fortinet旗下FortiGuard Labs威脅情資中心所公布《2023上半年全球資安威脅報告》指出「臺灣2023年上半年的惡意威脅數量急遽成長,與2022年同期相比增加超過八成,且每秒就有將近1.5萬次攻擊發生,高居亞太地區之冠。」惡意攻擊頻率之高,臺灣企業在數位化過程中,將紙本雲端化、導入軟體、線上建置平台、金流線上化、導入智慧工廠、自動化生產等等,若受到無形的網路攻擊且未及時發現的情況下,將會帶來難以估計的損失。前任思科執行長John Chambers表示:「有兩種公司:已遭受駭客攻擊的公司,以及不知道已遭受駭客攻擊的公司。」因此在疫情影響之下,及早做出準備,以因應未來可能發生的問題。
有時會從媒體上看到不同族群遭到網路攻擊,不禁思考為甚麼網路犯罪者會不疲於發動網路攻擊?其中之一的原因,且最貼近自己的例子就在身邊,早期使用社群媒體的方式趨於單純,人們越發依賴社群媒體的使用,從分享個人、與親友的生活點滴,慢慢加入以大數據演算經營商業、廣告以及各種營利的功能後,網路犯罪者發動攻擊,便能從「苦心經營不捨得」的心理,獲取不論是金錢、機密等等的重要資訊。除了攻擊社群媒體,企業網路更是無法置身事外,網路犯罪者將持續不間斷地嘗試從有漏洞的企業系統中,發動攻擊並獲取利益。
在網路犯罪的「勒索軟體即服務」(Raas)商業模式基礎下,「黑色產業鏈」加大了「變種勒索病毒」成長的幅度,但有趣的是,透過Fortinet的數據顯示「2023年上半年在臺灣偵測到的勒索軟體數量,與2022年同期相比大減超過九成(93.4%),全球勒索軟體的統計數量,也相較五年前下降近一成」,這樣的數據似乎減輕了人們的憂慮,但卻不能掉以輕心,勒索病毒數量減少並不代表攻擊減少,而是網路犯罪組織的攻擊,從以往「大範圍攻擊」,轉變成分工劃分明確、系統化且客製化的「目標性攻擊」,因此任何產業、個人或者組織都可以成為攻擊目標,以獲得最佳化的經濟利益,更跟進AI時代,運用不斷學習進步的「生成式AI」技術,升級網路攻擊的快狠準,使其變得更加複雜,且難以在短時間內發現並根除,即使發現了,也無法快速復原,必須要做好長期抗戰的準備。
在工業4.0推進下,「智慧工廠」結合了物聯網(IOT)、大數據以及人工智慧(AI)的技術,不僅僅只是生產及服務模式的改變,更改變了整個產業鏈上中下游的經營管理模式,管理顧問公司McKinsey & Company在2017年將人工智慧分為可以在價值鏈中創造價值的四個領域,分別為計畫、生產、行銷、供給(如圖1),透過各面向應用,讓企業能夠發揮更多的創新,進而提高效率與效能,帶來的正向影響有助於企業發展。然而人工智慧(AI)的應用,卻也成為犯罪集團的利器,由趨勢科技發表《2023上半年網路資安報告》中提到「AI工具已成為歹徒簡化詐騙流程、自動過濾目標以及擴大攻擊規模的利器,造就了各種新的犯罪型態。今年,勒索病毒集團越來越常在攻擊當中「自帶含漏洞的驅動程式」(BYOVD),並攻擊GoAnywhere、3CX、PaperCut和MOVEit等軟體的零時差漏洞,此外也經常利用強度不足或預設的密碼來入侵企業」,更提到「製造」、「醫療」、「科技」是同期相較之下偵測受到攻擊數量最多的產業。
觀望2024資訊安全,AI科技應用推動著各類產業的技術發展,也讓駭客組織更靈活地運用AI科技,發展出多樣的新型攻擊模式,如製作出假以亂真的軟體、郵件,甚至是個人訊息,更有利於發動攻擊,且有能力躲避部分安全防護,形成AI人工智能的潛在資安威脅;企業升級資安防護的同時,使得攻擊者更難以從外部滲透至內部的網路中,轉而著重從內部資訊的蒐集達成初始滲透,滲透威脅持續增加;在網路犯罪即服務(Cybercrime-as-a-Service,Caas)的盛行下,「零時差漏洞」(zerodays vulnerability)為攻擊者帶來價值,也就是還沒有修補的安全漏洞,在修補程式之前就被利用並攻擊,「零時差掮客」也就是網路犯罪者將在暗網上向買家仲介出售零時差漏洞,因此能取得各式的攻擊軟體的來源逐漸變多,也使得勒索軟體的網路攻擊更加容易,豐厚的贖金誘因,讓網路犯罪者大量投入了這類型的攻擊;由政治、地緣等政治動盪的狀況或重大事件的衝突,可能促使「激進駭客主義」的行動;正在與國際接軌的企業在數位化過程中,關鍵基礎設施及供應鏈產業的設備聯網狀況大量增加,網路犯罪者將積極尋找並利用基礎連網設備弱點,增加進行攻擊的可能性。綜上所述,一但網路犯罪者從中攻擊任何一個節點,便能輕易破壞產業的基礎設施與供應鏈,如此不論哪種產業,都需要加強資訊安全的防護。
在資訊安全防護上,企業有著舉足輕重的角色,透過對員工與時俱進的網路安全教育訓練,並將網路安全視為每個人的職責,不論在何種職位上,都更要加強「資訊安全」的觀念。由思科發表《安全成果研究第三卷:實現網路安全韌性》一文中指出「提升企業網路安全韌性的成功因素,尤其強調文化、環境,及以解決方案為基礎的因素能幫助企業實現網路安全」,對於企業來說,創造具有網路安全韌性的文化也是一大課題。網路攻擊不會在原地等待被發現,而是會找尋最有機會入侵的資安破口,由點向外延伸,對每個人都會有嚴重的影響,在「資訊安全」中採取更多行動,且不間斷地預測網路犯罪的動向,在被攻擊之前做好防護並干擾可能的威脅,這對於企業的資安威脅防護會更有優勢。
