筆者最近和同行討論,關於駭客找尋目標的方法。其實近十年駭客對於選擇目標的方式其實已經變得很難猜測。
一般人會想到,駭客一定是會選擇一些利潤大的目標,如銀行、虛擬資產平台等等。但是不要忘記,這些財力雄厚的公司當然也知道自己是很容易成為目標,所以他們的防線也不是容易擊破的。
駭客的第一條守則就是捨難取易,所以有些駭客就會想到專攻其他企業/機構。
政府部門常常成為駭客目標,除了因為有些是出於地緣政治、有人僱用或者是國家民族情緒外,如果能成功攻破一個政府部門,在「駭客業內」也是有一定的成功,出了名當然也間接會有人洽商工作等等。
接下來,大家會想到,銀行、政府部門以外,其實比較容易得手的,多數是一些已上市但未去到巨鯨水平的規模的上市公司。
主要原因是這些公司投放在IT的資源一定不能和銀行相提並論,而且很多時大家都有一個想法:「我公司的規模不算最大,駭客也未必會想起我。」
這正正就是從企業方面本身防御力已不算最佳,加上掉以輕心,就很容易被駭客有機可乘。
過往我處理過的很多案例,其實也不一定是防御基礎設施不足,而且因掉以輕心而令自己的防御工事出現缺口。比如有完善的軟體更新時間表,卻因疏忽沒有完全遵循,致令伺服器沒有及時堵塞系統漏洞。
我也聽說過駭客攻擊勒索中型企業得到的利潤,並一定比大型企業來得少。尤其早前討論過的災難回復問題,出事後無法回復的往往也是中型企業以下。最終結果可能是要付贖金給駭客。
駭客手法日新月異,一些手法也可能因為做了一些很觸目的案件而令資安服務供應商提供針對的方案(一如過去防毒軟體在出現一次大型電腦病毒事故後會提供針對的解毒程式一樣),可能也令駭客的招數再沒有效用。
駭客一如魔術師,每個人都有自己的秘密招數,當然不想這麼快被破解。而攻擊中小型企業,與攻擊政府部門恰恰相反,不是要揚名為目的,而是以得到利益為目標。
總括而言,現今網絡世界再沒有一個國家或地方,沒有一間企業或品牌是不會成為駭客下一個目標的。唯有保持高度警覺,及與時並進的資安防御,才是避免成受下一個受害企業/機構的不二法門。
