调查：95％ 的 APT 攻击源起社交网站

国际信息系统审计协会（ISACA）日前公布一份2015年APT攻击报告，报告针对全球661名取得CISM认证的资安稽核专家进行调查显示，有 74％的受访 者认为他们是被APT攻击锁定的对象，28％的受访者认为，他们已经遭受到一次以上的APT攻击，而更有67％的受访者表示，他们已经做好如何应对APT 攻击的准备了。

国 际信息系统审计协会针对2014年全球各企业遭受APT攻击状况进行调查，该协会表示，网络犯罪对个人与企业带来的损失，从2012年的3千亿美元， 到2014年预估损失达1兆美元，成长快速。资安公司Juniper更预测，到2019年网络犯罪带来的损失更高达2兆美元。不过，这些网络犯罪并非直接 获得相关的金钱收入，往往都是透过窃取敏感信息换取金钱。

从该份报告中显示，APT攻击的切入点从最早的网络钓鱼，到包含一个恶意软件或 恶意网址的鱼叉式钓鱼邮件，最近3年已经转向到以社交网络作为主要锁 定攻击的入侵点。该份报告指出，2015年有95％的APT攻击来自于社交网络，比2014年的92％增加。另外，有28％的受访者表示，他们已经明确遭 受到一次以上的APT攻击，其中，25％的受访者是高科技与咨询顾问服务业，有19％则是政府或军事部门人员，其他有65％的受访者可以识别攻击的来源为 何。

风险虽然持续增加，但是，该份调查也显示，有75％的受访者并没有和第三方资安公司或相关业者合作，藉此提高防御APT相关攻击的能 力，不过，值得 高兴的是，已经有53％的受访者表示，该公司已经提高资安相关的投资；61％的受访者表示，他们公司的领导阶层已经意识到网络安全的重要性，愿意在更多法 规遵循的议题上投入和强化；更有80％受访者指出，资深的公司高层则愿意投入更多资源，作为因应APT攻击的第一步。

APT攻击对企业带来的影响，根据该份调查，最主要的前5项威胁分别是：员工或客户个人资料的外泄、商誉损失、知识产权的损失、有形财务的损失，以及合约损失或法规遵循带来的损失等。

至于企业如何因应APT攻击，该份调查显示，95％的受访者采用防毒和防恶意软件对抗APT攻击，其次使用的防御继续依序为：防火墙、路由器和交换器等网络技术；Log监控与事件关联分析；IPS系统；资安意识提升与资安教育训练等。

若 要评估企业有否因应APT攻击的能力，从该份调查报告显示，2014年有75％受访者认为，该公司缺乏适当的APT防御方针，但在2015年只有 66％的企业认为该公司缺乏APT的防御方针。国际计算机稽核协会认为，这样的进步可以归因于，过去一年来，有许多对于APT攻击意识提升的宣传，让更多 人 意识到有APT攻击的存在。但即便如此，APT攻击还是很容易和传统的资安威胁混淆，只有67％的受访者可以明确厘清APT攻击和传统资安威胁的不同，却 有51％的受访者表示，APT攻击和传统的资安威胁没有两样。