資通訊技術日新月異、網攻網駭手法推陳出新,我們特別歸納出當前資安威脅六大趨勢,供各位客戶在維持ISMS時,做為重要外部議題及系統防禦參考。
趨勢1:駭客組職由無差別攻擊轉為精準打擊
在攻擊目標的選擇上,駭客組織由無差別攻擊轉彎精準打擊。以往黑客組織都是先開發出一個惡意程式,然後藉由大量的垃圾郵件來散播這些病毒、以量取勝。但隨著現在企業/組織資安意識普遍越來越好,這種方式已經越來越難成功、命中率越來越低。所以越來越多的犯罪集團已經捨棄這種亂槍打鳥隨機散布惡意程式的攻擊方式,取而代之的是目標式的攻擊。駭客會針對他們選定的目標做精準打擊,那這種攻擊在工具的選擇上,包括社交工程的技巧上,都是針對目標量身打造攻擊不以量取勝,專門挑選更有利可圖的獵物下手。也就是說駭客會先挑選攻擊的目標,再來尋找合適的工具、針對性的編寫社交工程郵件來提高win rate。
趨勢2:遠端工作風險不斷升高
使用雲端計算軟體服務、平臺的企業雲環境是現在的趨勢,雲端資安威脅是企業IT基礎架構最迫切的威脅。遠端工作常見的資安風險,其中最常被討論的就是Docker Rest API組態設定錯誤;Docker Rest API是用來部署Docker的映像檔,它可以將軟體應用程式部署到平臺上;設定錯誤,會讓系統原本提供的權限控管和保護失去功能。駭客經常會利用這個API,透過已經被駭的帳號在伺服器上植入惡意程式。
其次,需要注意到的威脅就是網路釣魚郵件。部份的企業在提供遠端辦公這個服務的時候,會架設VPN環境。讓員工可以透過VPN進到公司內網。駭客當然不會放過這個機會,他可以透過釣魚郵件來誘騙員工VPN的帳號以及密碼,或是誘騙員工安裝惡意程式來取得VPN的登錄憑證,以此來進入企業的內部網路,影響企業內部網路的安全。
趨勢3:高危漏洞嚴重影響系統安全
什麼是漏洞?漏洞是應用程式裡面的一個弱點,它可以是設計的缺陷或是實作上的錯誤。它可以讓攻擊者,對該應用程式的擁有者或是使用者造成傷害。根據損害程度的不同,可以分為高危漏洞、低危漏洞。高危漏洞就是會嚴重影響系統的漏洞,駭客通常會結合各種高危漏洞來攻擊系統,那end使用者的防禦方法就只有時時更新系統。才能避免損害的擴大。
趨勢4:勒索軟體加密檔案搭配竊密進行雙重勒索
勒索病毒的勒索手段越來越多元,以往的手法就是將檔案進行加密。支付贖金之後才會給你密碼解鎖。但現在大家都知道重要的檔案要進行備份,中了勒索病毒之後只要做備份還原就好,也就不會支付贖金。那勒索軟體當然也就必須隨之的進化,他們發展出了另一種新勒索手法。就是利用商業機密來威脅受害者,不支付贖金,商業機密就會被公開,造成營業秘密損害。這種手法最早出現在2019年的Maze迷宮這個勒索病毒。隨後就開始越來越流行,目標中了勒索病毒之後,檔案不會馬上被加密。病毒會潛伏一段時間來竊取受害者機密資訊,等到竊取差不多才開始發作,將檔案進行加密,此時使用者才會發覺。
趨勢5:行動裝置威脅逐年提升
隨著智慧型手機等行動通訊裝置的普及,加上這些行動通訊裝置的功能越發強大,針對行動裝置的攻擊也急劇擴大。手機的惡意軟體通常會要求使用者給予大量的權限,但大部分的權限其實該APP根本用不到;例如,它明明只是一個可以更換手機背景的應用程式,或是一個手電筒的應用程式,卻要求使用者開放簡訊權限、電話權限,或是GPS權限。這樣的權限配置當然極為不合理,但使用者的慣性使然,通常也不會去察覺自己開放了那些權限給那些APP。駭客、駭客組織喜歡利用這種方式蒐集個資,用來執行下階段的社交工程或是滲透攻擊。因此強烈建議大家下載手機APP前,記得到設定裡面去確認應用程式被賦予那些權限。
趨勢6:關鍵基礎設施成為駭客攻擊目標
根據行政院資安月報統計,全國包括中央與地方的公務機關,2021年通報就有696件資安事件,比前年成長了超過30%,其中部分的機關還有發生個資外洩的事情。而在國際局勢上,各個國家都有所謂以國家為單位的組織性駭客團體APT,也就是國家級的駭客組織,不斷地針對各國的關鍵基礎設施發動攻擊。比如俄羅斯APT駭客APT29,APT28,不斷地針對美國關鍵基礎設施發動攻擊,迫使美國政府向相關的業者發出警告,要求那些業者積極監控工業控制系統、操作環境,呼籲業者加強相關防護,並要保留各式log檔,如發現異常,應及時通報。最近中共軍演攻擊臺灣的關鍵基礎設施是APT27這個中國的駭客組織,APT27後來在YouTube頻道上傳影片表示其行動暫時結束,並表示其攻擊警政署、公路總局、台電、總統府等多個目標,並宣布其手下掌握有超過20萬台的台灣聯網裝置,至於是否真的有造成這麼大的損害,目前還無法獲得證實。但在這樣的大環境下,從個人到企業,從行動裝置到雲端,都應該時刻警惕資安防護工作,才能保障個人及組織秘密不受侵害。
-艾斯飛利國際ISMS主任稽核員 Dan Lin
コメント