資訊安全的基礎概念

微軟發布的2018亞太資安研究報告指出

  • 台灣在2017年因資安攻擊事件造成的經濟成本損失,高達270億美元。
  • 台灣在2017年的GDP總值為5715億美元,資安攻擊的損失相當於台灣GDP總值的5%。
  • 六成四的台灣企業員工會點開釣魚信件的連結,意即每10人即有6.4人會點開惡意連結。
  • 有97%的攻擊來源不重複,因此難以用防毒方式常用的「黑、白名單」阻擋。

參考來源:微軟新聞中心 https://news.microsoft.com/zh-tw/frost-sullivan/

微軟最新《智慧資安報告》解密亞太地區網路犯罪四大威脅

  • 惡意軟體:造成電腦功能受損、數據遺失、智慧財產遭竊、財務損失,甚至情緒上的影響。
  • 加密貨幣挖礦:利用惡意軟體入侵受害者電腦以取得加密貨幣,進而獲得非法利益。
  • 勒索軟體:雖然個人及公司行號越來越懂得用智慧的方式應變,勒索軟體仍然是重大資安威脅之一。
  • 偷渡式下載:利用網頁漏洞引導用戶前往被駭網頁,即使用戶沒有下載任何東西,攻擊者已能暗中感染電腦。

參考來源:微軟新聞中心 https://news.microsoft.com/zh-tw/security/

駭客攻擊的常見手法

  • 木馬後門:
    駭客用來盜取其他用戶的個人資訊,並可遠端控制對方電腦、手機等設備的惡意軟體。
  • 勒索病毒:
    利用惡意軟體加密受害者硬碟上的檔案,然後要求受害者繳納贖金以取回解密金鑰以便解密檔案。
  • MITM攻擊:
    中間人攻擊(Man-In-The-Middle),攻擊者透過ARP來攔截、側錄雙方的網路通訊內容。
  • 社交攻擊:
    攻擊者偽裝成公司內部技術人員或者問卷調查人員,騙取受害者的密碼等重要資訊,甚至詐騙金錢。
  • DoS攻擊:
    阻斷服務攻擊(Denial-Of-Service),將目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止。
  • DDoS攻擊:
    分散式阻斷服務攻擊(Distributed Denial-Of-Service),是DoS攻擊的進階版,讓受害者更難防護。
  • 釣魚攻擊:
    透過Email或者即時通訊進行導引用戶到URL與介面外觀與真正網站相仿的假冒網站輸入機密資料。
  • 暴力攻擊:
    一般是指密碼破解攻擊,將密碼進行逐個推算直到找出真正的密碼為止,經常結合密碼字典進行攻擊。
  • SQL注入攻擊:
    在網頁的輸入字串之中夾帶SQL指令,來達到破壞或是入侵資料庫的目的。
  • XSS攻擊:
    利用跨站腳本(Cross Site Scripting)的漏洞讓攻擊者可以將惡意腳本注入使用者的瀏覽器。
  • 命令注入攻擊:
    攻擊者會利用有漏洞的網頁應用程式來插入惡意shell命令到網站主機作業系統並加以執行。

多數人會認為資安和自己無關

  • 自己不是名人,應該不會被駭
  • 沒有亂裝軟體,應該沒有問題
  • 沒有重要資料,不見也沒關係
  • 沒有機密資料,被駭也沒關係

多數企業會認為資安不會有問題

  • 公司有防火牆,應該不會被駭
  • 電腦都有防毒,應該沒有問題
  • 資料都有備份,應該不必擔心
  • 資安問題只需由IT人員負責

有用3C設備就要注意資安,資安問題不是只有駭客攻擊

  • 硬體損毀
  • 硬體遺失
  • 軟體損毀
  • 人為操作