做黑客集團式經營 技術更趨複雜難測
資訊保安問題越趨嚴重不再是保安公司的預測,2014年我們面對的問題不再是小偷式的入侵,而是更複雜、更具策略性的電子犯罪行為。RAND集團最近發表報告指出,過去十年,黑客活動由個人惡作劇行為變成以利益為目標的集團式行為,專業而細膩的組織部署,更複雜的加密通訊令資訊安全部門更難破解,成為未來窒礙商業應用發展的因素。
現在職業黑客的利益比毒販更高,成本低利潤高速度快,更不用冒生命危險偷運。黑客開發入侵工具的速度比以往更多更快,以往新工具一年只有一至兩個,但至去年發現的新工具就升至33個,例如黑客提供的hacking-for-hire服務,任何人都可以租用botnet進行DDoS攻擊。這些垂手可得的工具令攻擊門檻降低,所以策劃行動的成本大減,更多企業及政部門資訊曝露於風險之中。
網絡犯罪行為發展成集團式甚至具有企業級規劃,勢力分佈世界各地,理論上其行動應該更易捕捉,但事實是組織成員隱身技術及加密通訊越來越成熟,並擁有私密的網絡,而加密交易令付款紀錄無法追蹤,成為執法的障礙。這場執法部門及罪犯的角力遊戲,令雙方技術不斷演進,雖說執法一方資源較多,但當瓦解了一個組織後,很快又有新的組織出現,打擊不斷。
企業面對風險越來越高,但不可能因此而停止發展步伐。例如近年興起的社交媒體及流動裝置,我們無可避免要使用這些科技來提升競爭力。報告估計未來物聯網的普及也會成為攻擊目標,即使電腦有更新漏洞,但各式網絡裝置存在的漏洞未即時更新均會存在風險。
