資安事件層出不窮,攻擊的手法不僅多元,駭客也越來越有組織化的趨勢。F5 Networoks臺灣暨香港區董事總經理殷玉萍表示,當今資安事件不是呈現靜態發展,駭客會不停的尋找系統弱點進行攻擊,因此在未來的資安防護上,「並不是進行即時保護,而是要預期未來會發生的攻擊。」
殷玉萍認為,目前資安攻擊趨勢總共有兩大重點方向:個人資料竊取及DDoS攻擊。她表示,過去的系統架構中,企業往往認為只要針對資料庫、資料傳輸過程加密即可。但是「使用者在存取系統過程也會產生漏洞」,她說明,像是使用者在網頁瀏覽器、App中,鍵入帳號密碼、信用卡等資料時,使用者的資料就有機會直接被駭客所截取。
F5 Networks也針對臺灣20多家銀行的入口網站進行檢查,進而發現其中有2/3的網站,駭客都可以藉中介攻擊(Man in the browser)竊走私密資訊,殷玉萍表示:「因此除了傳輸過程、資料庫外,Web端也必須進行加密」,不僅如此,F5 Networks臺灣區總經理張紘綱也透露,臺灣高達7成至8成的電商網站,也暴露在使用者資料可能被竊取的風險下。
再者是層出不窮DDoS攻擊事件,張紘綱表示,DDoS攻擊手法除了多樣外,「現在只要數百美金即可取得50Gb、100Gb的攻擊流量。」如香港占中事件就發生高達600Gb的DDoS攻擊,或是今年1月,英國陸續爆發BBC、匯豐銀行遭到DDoS攻擊的事件。
儘管企業建立足以抵擋100Gb、200Gb攻擊流量的基礎建設,隨著DDoS攻擊流量日益增加,「除了抵擋外,還要想如何抵擋才有效果」,殷玉萍表示,目前F5 Networks在全亞洲共建置了4座資料中心,總計可以為企業提供總計2TB的流量,一旦發生DDoS攻擊,F5 Networks也會選擇就近攻擊地點的資料中心,開始疏散攻擊流量。
而殷玉萍也呼籲,企業得思考如何重組資安架構,除了在資料庫、資料傳輸過程加密外,「最好瀏覽器也要進行加密,從使用者終端就開始進行保護。」她以銀行為例,過去的銀行搶劫行動都得經由實體分行,但隨著金融科技、虛擬分行的興起,「全世界的駭客都可能是潛在犯罪者。」而法規目前還跟不上業界發展,無法給予業者妥善的保護,「銀行一定得設法保護自己。」