台灣作為一個資訊科技發展迅速的供應鏈重鎮,正面臨多種資安挑戰,這些挑戰源自多重因素,其中包括地緣政治因素、眾多知名科技公司和半導體製造商的存在,以及資安人才短缺等問題,正因如此,台灣成為駭客攻擊的高風險地區之一。FortiGuard Labs威脅情資中心在上個月發布的《2023上半年全球資安威脅報告》中指出,相對於2022年,台灣在上半年遭受的攻擊威脅數量急劇增加,甚至在亞太地區中居於領先位置,詳情可參閱2022~2023年重大資安事件回顧、導入弱點檢測操作管理系統,讓人力花在刀口上 。
以下是一些常見的資安攻擊手法:
分散式阻斷服務攻擊(DDoS,Distributed Denial of Service):
DDoS攻擊目的在使網站或伺服器無法正常運作,通常通過洪水式的流量向目標發送大量請求,使其超出處理能力。
勒索軟體攻擊(Ransomware):
攻擊者使用勒索軟體將受害者的文件加密,威脅將文件永久刪除或洩露,然後要求贖金以解鎖這些文件。
惡意軟體(Malware):
包括病毒、特洛伊木馬、間諜軟體等,攻擊者使用這些軟體在受害者的設備上執行惡意操作,例如竊取資料、控制系統或加密文件。
零時差攻擊(Zero-Day Vulnerability):
零時差攻擊是指攻擊者利用已知但尚未修補的漏洞入侵系統,因為這些漏洞的存在是廠商還未釋出修補程式的"零時差"期間。
網路釣魚(Phishing):
攻擊者通常發送假的電子郵件或訊息,冒充合法機構,試圖引誘受害者提供個人資訊、密碼或點擊惡意連結,竊取敏感資料。
密碼攻擊:
攻擊者試圖破解或竊取用戶帳戶的密碼,以便進入受害者的帳戶或系統,這可能包括暴力破解、字典攻擊或社交工程技巧。
社交工程攻擊:
攻擊者通常通過誘騙、誘導或欺詐手段,誘使受害者進行某些操作,例如提供敏感訊息或點擊危險連結。
SQL注入攻擊(SQL Injection):
SQL注入攻擊是一種利用應用程式未適當驗證數據的攻擊方式,攻擊者在輸入字段中插入惡意SQL代碼,竊取數據庫中的資訊或執行惡意操作。
跨網站指令碼攻擊(Cross-site Scripting,簡稱XSS):
XSS攻擊是一種攻擊方式,攻擊者將惡意的JavaScript代碼嵌入到網頁上,當用戶瀏覽該網頁時,該代碼會被執行,通常用於竊取cookie或其他敏感訊息。
進階持續性滲透攻擊( Advanced Persistent,簡稱ThreatAPT ):
是未來資安攻擊趨勢,主要是透過長期性的網路攻擊,再配合先進的病毒或是手法,一直攻擊直到目標達成。
積極應對全球資安挑戰,強化防禦
各國政府、企業和資安專家都已積極佈局資安防禦與應急響應能力,確保其資訊基礎設施和數據安全性,台灣也投身參與國際資安合作,以更好地應對全球資安威脅,面對不斷演變的資安環境,資訊安全已經成為一個關鍵性議題,需要不斷更新和改進防禦措施,以應對現代資安挑戰。