国际信息系统审计协会(ISACA)日前公布一份2015年APT攻击报告,报告针对全球661名取得CISM认证的资安稽核专家进行调查显示,有74%的受访 者认为他们是被APT攻击锁定的对象,28%的受访者认为,他们已经遭受到一次以上的APT攻击,而更有67%的受访者表示,他们已经做好如何应对APT 攻击的准备了。
国际信息系统审计协会针对2014年全球各企业遭受APT攻击状况进行调查,该协会表示,网络犯罪对个人与企业带来的损失,从2012年的3千亿美元, 到2014年预估损失达1兆美元,成长快速。资安公司Juniper更预测,到2019年网络犯罪带来的损失更高达2兆美元。不过,这些网络犯罪并非直接 获得相关的金钱收入,往往都是透过窃取敏感信息换取金钱。
从该份报告中显示,APT攻击的切入点从最早的网络钓鱼,到包含一个恶意软件或恶意网址的鱼叉式钓鱼邮件,最近3年已经转向到以社交网络作为主要锁 定攻击的入侵点。该份报告指出,2015年有95%的APT攻击来自于社交网络,比2014年的92%增加。另外,有28%的受访者表示,他们已经明确遭受到一次以上的APT攻击,其中,25%的受访者是高科技与咨询顾问服务业,有19%则是政府或军事部门人员,其他有65%的受访者可以识别攻击的来源为 何。
风险虽然持续增加,但是,该份调查也显示,有75%的受访者并没有和第三方资安公司或相关业者合作,藉此提高防御APT相关攻击的能力,不过,值得 高兴的是,已经有53%的受访者表示,该公司已经提高资安相关的投资;61%的受访者表示,他们公司的领导阶层已经意识到网络安全的重要性,愿意在更多法 规遵循的议题上投入和强化;更有80%受访者指出,资深的公司高层则愿意投入更多资源,作为因应APT攻击的第一步。
APT攻击对企业带来的影响,根据该份调查,最主要的前5项威胁分别是:员工或客户个人资料的外泄、商誉损失、知识产权的损失、有形财务的损失,以及合约损失或法规遵循带来的损失等。
至于企业如何因应APT攻击,该份调查显示,95%的受访者采用防毒和防恶意软件对抗APT攻击,其次使用的防御继续依序为:防火墙、路由器和交换器等网络技术;Log监控与事件关联分析;IPS系统;资安意识提升与资安教育训练等。
若要评估企业有否因应APT攻击的能力,从该份调查报告显示,2014年有75%受访者认为,该公司缺乏适当的APT防御方针,但在2015年只有 66%的企业认为该公司缺乏APT的防御方针。国际计算机稽核协会认为,这样的进步可以归因于,过去一年来,有许多对于APT攻击意识提升的宣传,让更多人 意识到有APT攻击的存在。但即便如此,APT攻击还是很容易和传统的资安威胁混淆,只有67%的受访者可以明确厘清APT攻击和传统资安威胁的不同,却 有51%的受访者表示,APT攻击和传统的资安威胁没有两样。