【有機可乘】調查指程式漏洞成資安隱患 逾半港企曾受零日攻擊

雲端安全方案供應商 Barracuda 發布《2021 年的應用程式安全狀況》全球研究報告，顯示針對企業的網絡攻擊問題依然嚴重，有高達六成受訪港企反映，在過去 12 個月內曾因應用程式漏洞而遭到至少一次網絡攻擊，當中以零日漏洞（Zero-day vulnerability）最為常見。

調查在本年三及四月期間進行，一共訪問了 750 名負責應用程式開發及網絡安全的企業 IT 決策者，他們所屬的企業均是員工人數達 500 名或以上的大企，至於來自本港的受訪者則有 50 人，當中六成人（30 人）表示，公司在過去 12 個月內，曾因應用程式漏洞而遭到網絡攻擊；在這 30 人當中，有近半更稱應用程式攻擊曾來襲至少兩次。

到底哪些類型的應用程式攻擊較為常見？答案是零日漏洞，有逾半（53%）本港受訪者表示，於過去 12 個月曾因零日漏洞而遭受攻擊，另有 40% 受訪港人反映，攻擊主要來自惡意機械人（Bot attacks），例子包括攻擊者透過傀儡程式大量自動註冊帳號及散布垃圾訊息，或者策動「分散式阻斷服務」（DDoS）攻擊等。

除此之外，亦有 52% 本港受訪者認為，漏洞檢測為企業帶來挑戰，其他企業需要面對的應用程式安全方面挑戰，還包括軟件供應鏈攻擊（Software supply chain attacks），即黑客以應用程式開發者或供應商為攻擊目標，感染合法的應用程式後，透過軟件更新向程式用戶散播惡意程式。

Barracuda Networks 亞太區副總裁 James Forbes-May 認為，應用程式已經成為黑客的網絡攻擊方向，隨著不少企業引入遙距工作模式，「相關安全挑戰變得更為嚴峻」，他亦指企業需特別留意惡意機械人，以及針對應用程式介面（API）漏洞或軟件供應鏈等方面的攻擊，並部署更有效應對方案。