國際電腦稽核協會(ISACA)日前公布一份2015年APT攻擊報告,報告針對全球661名取得CISM認證的資安稽核專家進行調查顯示,有74%的受訪者認為他們是被APT攻擊鎖定的對象,28%的受訪者認為,他們已經遭受到一次以上的APT攻擊,而更有67%的受訪者表示,他們已經做好如何應對APT攻擊的準備了。
國際電腦稽核協會針對2014年全球各企業遭受APT攻擊狀況進行調查,該協會表示,網路犯罪對個人與企業帶來的損失,從2012年的3千億美元,到2014年預估損失達1兆美元,成長快速。資安公司Juniper更預測,到2019年網路犯罪帶來的損失更高達2兆美元。不過,這些網路犯罪並非直接獲得相關的金錢收入,往往都是透過竊取敏感資訊換取金錢。
從該份報告中顯示,APT攻擊的切入點從最早的網路釣魚,到包含一個惡意程式或惡意網址的魚叉式釣魚郵件,最近3年已經轉向到以社交網路作為主要鎖定攻擊的入侵點。該份報告指出,2015年有95%的APT攻擊來自於社交網路,比2014年的92%增加。另外,有28%的受訪者表示,他們已經明確遭受到一次以上的APT攻擊,其中,25%的受訪者是高科技與諮詢顧問服務業,有19%則是政府或軍事部門人員,其他有65%的受訪者可以識別攻擊的來源為何。
風險雖然持續增加,但是,該份調查也顯示,有75%的受訪者並沒有和第三方資安公司或相關業者合作,藉此提高防禦APT相關攻擊的能力,不過,值得高興的是,已經有53%的受訪者表示,該公司已經提高資安相關的投資;61%的受訪者表示,他們公司的領導階層已經意識到網路安全的重要性,願意在更多法規遵循的議題上投入和強化;更有80%受訪者指出,資深的公司高層則願意投入更多資源,作為因應APT攻擊的第一步。
APT攻擊對企業帶來的影響,根據該份調查,最主要的前5項威脅分別是:員工或客戶個人資料的外洩、商譽損失、智慧財產權的損失、有形財務的損失,以及合約損失或法規遵循帶來的損失等。
至於企業如何因應APT攻擊,該份調查顯示,95%的受訪者採用防毒和防惡意程式對抗APT攻擊,其次使用的防禦繼續依序為:防火牆、路由器和交換器等網路技術;Log監控與事件關聯分析;IPS系統;資安意識提升與資安教育訓練等。
若要評估企業有否因應APT攻擊的能力,從該份調查報告顯示,2014年有75%受訪者認為,該公司缺乏適當的APT防禦方針,但在2015年只有66%的企業認為該公司缺乏APT的防禦方針。國際電腦稽核協會認為,這樣的進步可以歸因於,過去一年來,有許多對於APT攻擊意識提升的宣傳,讓更多人意識到有APT攻擊的存在。但即便如此,APT攻擊還是很容易和傳統的資安威脅混淆,只有67%的受訪者可以明確釐清APT攻擊和傳統資安威脅的不同,卻有51%的受訪者表示,APT攻擊和傳統的資安威脅沒有兩樣。