2023全球资安威胁 Fortinet：网路犯罪服务化

资安大厂Fortinet及趋势科技15日公布资安报告，趋势科技提醒金融业者不要高估自身资安能力，其供应商整备不足可能成为其破口。Fortinet则表示，网路犯罪已服务化。

那斯达克上市资安公司Fortinet 15日公布「2023全球资安威胁预测」，FortiGuard Labs研发中心台湾区经理林乐表示，骇客不仅发动外部攻击，也发动直闯内网的资安攻击，内外夹击、对企业造成巨大影响。

2023年资安威胁有五大趋势，首先是勒索软体即服务。骇客发展出前所未见的「选单式」服务，让网路犯罪者能够无需事先投入时间和资源，即可展开攻击计画。

趋势二是「侦察即服务」。所谓的侦察是指骇客雇用「侦探」，在发动攻击前，先调查特定目标的相关情资，包含攻击对象的企业安全架构、资安专责人员名单、内部伺服器数量、已知的外部漏洞等，因对其掌握度高，因此成功机率大增。

第三，洗钱服务。骇客组织通常会雇用「钱骡」（money mule，洗钱车手），未来会以自动化服务取代传统钱骡，使洗钱活动变得更难以追踪，进而大幅降低追回被盗资金的机会。

趋势四，虚拟城市成为网路犯罪的温床。元宇宙及虚拟城市透过扩增实境（AR）技术，虚拟实境（VR）技术与混合实境（MR）等技术搭建起来。在虚拟城市里可以使用数位钱包、虚拟货币交易所、NFT等，都为网路犯罪者开启了全新的攻击面。虚拟城市的AR或VR驱动元件也可能使指纹对应、脸部辨识资料、视网膜扫描等生物特徵落入攻击者手中，并衍生出资料窃盗、诈骗、勒索等犯罪行为。

最后趋势五，Wiper恶意软体卷土重来。不少骇客使用新型Wiper变种病毒发动更具毁灭性的攻击。

趋势科技也指出，75％的金融企业受访者认为，有足够的勒索病毒防范能力，远高于所有产业的平均值63％。但趋势科技也提醒，金融机构存在第三方资安风险，56％曾有供应商遭到勒索病毒入侵的事件发生，而且大部分是合作伙伴（56％）和子公司（29％）。