ISOC線上信任聯盟發表2018網路攻擊事件和資料外洩趨勢報告

ISOC的線上信任聯盟(Online Trust Alliance, OTA)於今年7月9日發布第11期網路攻擊事件和資料外洩趨勢報告(Cyber Incident & Breach Trends report),提供相關組織可以採取的預防措施以減輕潛在損害。本篇就ISOC網路隱私與安全分析員Kenneth Olmstead的撰文做重點摘要。

整體而言,OTA預估2018年發生超過200萬起網路攻擊事件,全球整體財務損失高達450億美元,攻擊的主要類別為挖礦劫持(cryptojacking, 130萬件)和勒索軟體(50萬件),其次是資料外洩(6萬件)、供應鏈(至少6萬個受病毒感染網站)和商務電子郵件詐騙(Business Email Compromise, BEC, 2萬件)。

2018年勒索軟體攻擊事件數量下降,然而這些攻擊所導致的損失總值仍持續成長,另一項眾所皆知的是分散式阻斷服務(DDoS)攻擊,去年成功的DDoS案件包括銀行領域(ABN AMRO)、教育領域(Infinite Campus)、電子郵件服務(ProtonMail)和軟體服務(GitHub)等。BEC詐騙也在增長當中,美國聯邦調查局2018年網路犯罪報告顯示美國去年有2萬多起BEC詐騙案件,造成近13億美元的損失(2017年約有16,000起事件和6.77億美元的損失)。

挖礦劫持今年首次出現在報告中,趨勢科技去年偵測到超過130萬個挖礦劫持代碼的案例,比2017年增加了三倍多。供應鏈攻擊同樣也是新的類型,根據賽門鐵克的報告,供應鏈攻擊成長了78%。此外,物聯網設備越來越常成為執行各類型攻擊的工具,卡巴斯基實驗室報告聲稱,2018年上半年,用於攻擊物聯網設備的惡意軟體數量增加了三倍。

雖然網路攻擊事件會不斷改變,新的攻擊類型可能隨時出現,但是OTA的趨勢報告中提供的指導原則基本上維持不變,各組織必須保持警惕,隨時為處理網路攻擊事件作好準備,另外該報告也建議各組織可使用其IoT信任框架來幫助整個物聯網生態系統更安全。 

原始文章

Photo created by Darwin Laganzon from Pixabay

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *