調查：95％ 的 APT 攻擊源起社交網站

國際信息系統審計協會（ISACA）日前公布一份2015年APT攻擊報告，報告針對全球661名取得CISM認證的資安稽核專家進行調查顯示，有 74％的受訪 者認為他們是被APT攻擊鎖定的對象，28％的受訪者認為，他們已經遭受到一次以上的APT攻擊，而更有67％的受訪者表示，他們已經做好如何應對APT 攻擊的準備了。

國 際信息系統審計協會針對2014年全球各企業遭受APT攻擊狀況進行調查，該協會表示，網絡犯罪對個人與企業帶來的損失，從2012年的3千億美元， 到2014年預估損失達1兆美元，成長快速。資安公司Juniper更預測，到2019年網絡犯罪帶來的損失更高達2兆美元。不過，這些網絡犯罪并非直接 獲得相關的金錢收入，往往都是透過竊取敏感信息換取金錢。

從該份報告中顯示，APT攻擊的切入點從最早的網絡釣魚，到包含一個惡意軟件或 惡意網址的魚叉式釣魚郵件，最近3年已經轉向到以社交網絡作為主要鎖 定攻擊的入侵點。該份報告指出，2015年有95％的APT攻擊來自于社交網絡，比2014年的92％增加。另外，有28％的受訪者表示，他們已經明確遭 受到一次以上的APT攻擊，其中，25％的受訪者是高科技與咨詢顧問服務業，有19％則是政府或軍事部門人員，其他有65％的受訪者可以識別攻擊的來源為 何。

風險雖然持續增加，但是，該份調查也顯示，有75％的受訪者并沒有和第三方資安公司或相關業者合作，藉此提高防御APT相關攻擊的能 力，不過，值得 高興的是，已經有53％的受訪者表示，該公司已經提高資安相關的投資；61％的受訪者表示，他們公司的領導階層已經意識到網絡安全的重要性，愿意在更多法 規遵循的議題上投入和強化；更有80％受訪者指出，資深的公司高層則愿意投入更多資源，作為因應APT攻擊的第一步。

APT攻擊對企業帶來的影響，根據該份調查，最主要的前5項威脅分別是：員工或客戶個人資料的外泄、商譽損失、知識產權的損失、有形財務的損失，以及合約損失或法規遵循帶來的損失等。

至于企業如何因應APT攻擊，該份調查顯示，95％的受訪者采用防毒和防惡意軟件對抗APT攻擊，其次使用的防御繼續依序為：防火墻、路由器和交換器等網絡技術；Log監控與事件關聯分析；IPS系統；資安意識提升與資安教育訓練等。

若 要評估企業有否因應APT攻擊的能力，從該份調查報告顯示，2014年有75％受訪者認為，該公司缺乏適當的APT防御方針，但在2015年只有 66％的企業認為該公司缺乏APT的防御方針。國際計算機稽核協會認為，這樣的進步可以歸因于，過去一年來，有許多對于APT攻擊意識提升的宣傳，讓更多 人 意識到有APT攻擊的存在。但即便如此，APT攻擊還是很容易和傳統的資安威脅混淆，只有67％的受訪者可以明確厘清APT攻擊和傳統資安威脅的不同，卻 有51％的受訪者表示，APT攻擊和傳統的資安威脅沒有兩樣。