駭客有時候不靠硬幹,靠的是「慢慢滲透」和「騙你點下去」。今天介紹兩種企業最害怕的威脅:
APT(Advanced Persistent Threat)中文叫進階持續性威脅,是一種針對特定目標(企業或政府)的長期、隱密性攻擊。
| 英文縮寫 | 說明 |
|---|---|
| Advanced | 使用高技術攻擊工具,可能結合 0-day |
| Persistent | 攻擊行動長時間潛伏、滲透、不間斷 |
| Threat | 攻擊目標明確(如特定企業、國防部門) |
例子:Stuxnet 攻擊伊朗核能設施、SolarWinds 供應鏈事件等。
社交工程是利用人性的攻擊手法。駭客不攻擊電腦,而是騙你幫他開門。
| 類型 | 說明 |
|---|---|
| 釣魚攻擊(Phishing) | 用假信件騙你點惡意連結或輸入密碼 |
| 語音詐騙(Vishing) | 假冒銀行/客服打電話詐取資料 |
| 簡訊詐騙(Smishing) | 假冒通知簡訊,誘導下載木馬 |
| USB 誘餌攻擊 | 故意丟 U 盤,內含木馬,一插就中招 |
| 冒充內部人員(Impersonation) | 假扮同事、技術人員騙取帳密 |
重點:社交工程攻擊無需技術門檻,靠人性漏洞取勝!
| 項目 | APT | 社交工程 |
|---|---|---|
| 攻擊對象 | 特定組織、機構 | 所有人(包含你我) |
| 手法 | 技術 + 社交混合攻擊 | 完全依賴人性弱點 |
| 攻擊時間 | 長期、潛伏性強 | 短時間見效 |
| 難度 | 高技術、高資源 | 低技術、廣撒網 |
| 防禦重點 | 系統監控、權限控管 | 員工教育、驗證機制 |
| 威脅類型 | 防禦策略 |
|---|---|
| APT | 使用入侵偵測系統(IDS)、多層防禦架構、定期弱點掃描、封包檢查 |
| 社交工程 | 定期資安訓練、雙重驗證(2FA)、建立通報流程、信件防詐系統 |
APT 和社交工程是一外一內的雙重危機:
資安不只是裝軟體,更需要人與制度的防守!
iThome鐵人賽
看影片追技術