預防成為駭客幫兇 企業員工應加強安全意識

（2013年10月8日，台北訊）隨著行動裝置越來越「智慧」，企業也善用各式科技軟體管理專案進度，使用社交軟體如Line等進行線上會議的公司也不在少數。但員工使用科技工具的同時，也應同時強化資安意識，才能避免被駭客鎖定為漏洞對象，成為隱形幫兇。日前由國際資安大廠芬安全(F-Secure)公布的最新一季全球威脅報告便指出，利用Java的漏洞攻擊就占了全球45%的比例，針對式攻擊也儼然成為駭客主要的獲利來源，新型態鎖定企業員工夾帶惡意程式的水坑式手法(watering hole)更為企業帶來損失隱憂。

圖說：2013上半年Java漏洞攻擊成為駭客攻擊的主要方式，約佔總攻擊的5成
(資料來源：2013上半年芬安全病毒威脅報告)

圖說：芬安全全球即時病毒攻擊監測，在這24小時內前十大攻擊第一、二兩名皆是針對Java漏洞進行攻擊。

(來源：芬安全病毒病毒監測網站)

芬安全大中華區總代理商翔偉資安科技營運長杜世鵬說明，企業樹大招風，一旦入侵成功，獲利相當可觀，這也讓APT針對式攻擊成為組織主要的資安風險，但組織或公司也不會坐以待斃，除了專業的IT部門做為後盾外，也多半會裝設資安防護系統軟體，確保公司的安全防護系統足以抵擋外部攻擊。但即便軟硬體皆做了最佳準備，仍難以深入所有員工的行動裝置，或是控管行為(如上網瀏覽的頁面)，有些企業更嚴謹的全面管控公司網路，但現今網路科技越發方便，就算禁止員工上某些網站，也無法全面性防範，包含每台電腦裡應用程式的修補漏洞紮實度，這也讓駭客有機會找到入侵的漏洞，尤其喜歡透過誘導或釣魚的方式，只要員工一不慎，便直接成為駭客幫兇。水坑式攻擊最常利用網頁漏洞埋伏其中，無論是之前的Java或是IE漏洞都提供了駭客大好機會，駭客在網站伺服器後植入惡意程式，只要使用者造訪該網頁，電腦就會自動下載並安裝，甚至為了要躲避資安人員的管控，降低戒心，有駭客直接埋伏在企業福利網，或是入侵公司行政、人資員工的系統或郵箱，發送含有釣魚網站或是病毒的信件給全公司。雖然網站開發商以及應用程式開發商在發現漏洞時都盡快推出更新版本，但只要用戶沒有即時更新，感染機率仍偏高。

圖說2：水坑式攻擊方式介紹

杜世鵬也強調為了降低遭受這種針對性攻擊的機率，除了公司在管理規劃層面，要確實盤點軟體資產版本並定期更新程式，階段性的汰換超過十年以上的舊系統也是必要列入2014的年度規劃中相當重要的考量，企業員工也應自我檢視避免造成公司損失(翔偉資安科技也在其他的調查中發現，目前台灣仍有兩到三成的一般民眾未在家中安裝防毒軟體)，尤其現在裝置平台間交流密切，不管是隨身碟、智慧型手機等都有機會交叉感染，國外有許多資安意識較高的公司為了降低企業被間接型感染的機會，甚至也將員工家中電腦列入資安採購範圍，就是要確保在駭客無孔不入的時代能降低企業本身面臨的資安風險。

F-Secure – 重視並守護您無價的重要資產 F-Secure芬安全是全球電腦與行動裝置雲端安全領導品牌，無論您是使用電腦或智慧型手機，我們能確保您最重視的資料受到完整的安全保護。F-Secure於全球各地與超過200家電信業者合作提供服務，並擁有數億家庭與企業用戶的信任。F-Secure自1988年成立，總部設於芬蘭赫爾辛基市（Helsinki），已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。歡迎造訪F-Secure網頁：http://www.f-secure.com 關於翔偉資安科技 sunwai InfoSec Technologies, Ltd. 翔偉資安科技為芬蘭國際級防毒領導品牌F-Secure芬安全大中華區總代理，提供端點系統安全進階技術服務與顧問輔導。藉由長期培育的專業工程團隊及客服支援中心，已連年贏得廣大企業客戶、政府機關與學校的肯定，翔偉資安科技代理之F-Secure產品目前已第五年獲得台灣銀行（中信局）共同供應契約合作。翔偉資安科技是台灣最廣連鎖紙張供應商賢記紙業集團之關係企業。歡迎造訪翔偉資安科技網頁：http://www.sunwai.com