鎖定企業員工夾帶惡意程式的水坑式攻擊

隨著行動裝置越來越「智慧」，企業也善用各式科技軟體管理專案進度，使用社交軟體如Line等進行線上會議的公司也不在少數。但員工使用科技工具的同時，也應同時強化資安意識，才能避免被駭客鎖定為漏洞對象，成為隱形幫兇。日前由國際資安大廠芬安全(F-Secure)公布的最新一季全球威脅報告便指出，利用Java的漏洞攻擊就占了全球45%的比例，針對式攻擊也儼然成為駭客主要的獲利來源，新型態鎖定企業員工夾帶惡意程式的水坑式手法(watering hole)更為企業帶來損失隱憂。

芬安全大中華區總代理商翔偉資安科技營運長杜世鵬說明，企業樹大招風，一旦入侵成功，獲利相當可觀，這也讓APT針對式攻擊成為組織主要的資安風險，但組織或公司也不會坐以待斃，除了專業的IT部門做為後盾外，也多半會裝設資安防護系統軟體，確保公司的安全防護系統足以抵擋外部攻擊。但即便軟硬體皆做了最佳準備，仍難以深入所有員工的行動裝置，或是控管行為(如上網瀏覽的頁面)，有些企業更嚴謹的全面管控公司網路，但現今網路科技越發方便，就算禁止員工上某些網站，也無法全面性防範，包含每台電腦裡應用程式的修補漏洞紮實度，這也讓駭客有機會找到入侵的漏洞，尤其喜歡透過誘導或釣魚的方式，只要員工一不慎，便直接成為駭客幫兇。水坑式攻擊最常利用網頁漏洞埋伏其中，無論是之前的Java或是IE漏洞都提供了駭客大好機會，駭客在網站伺服器後植入惡意程式，只要使用者造訪該網頁，電腦就會自動下載並安裝，甚至為了要躲避資安人員的管控，降低戒心，有駭客直接埋伏在企業福利網，或是入侵公司行政、人資員工的系統或郵箱，發送含有釣魚網站或是病毒的信件給全公司。雖然網站開發商以及應用程式開發商在發現漏洞時都盡快推出更新版本，但只要用戶沒有即時更新，感染機率仍偏高。

杜世鵬也強調為了降低遭受這種針對性攻擊的機率，除了公司在管理規劃層面，要確實盤點軟體資產版本並定期更新程式，階段性的汰換超過十年以上的舊系統也是必要列入2014的年度規劃中相當重要的考量，企業員工也應自我檢視避免造成公司損失(翔偉資安科技也在其他的調查中發現，目前台灣仍有兩到三成的一般民眾未在家中安裝防毒軟體)，尤其現在裝置平台間交流密切，不管是隨身碟、智慧型手機等都有機會交叉感染，國外有許多資安意識較高的公司為了降低企業被間接型感染的機會，甚至也將員工家中電腦列入資安採購範圍，就是要確保在駭客無孔不入的時代能降低企業本身面臨的資安風險。