過去 24 個月,美國財星五百大企業幾乎都曾遭受惡意軟體攻擊,就連美國亞特蘭大市政府都因 SamSam 勒索軟體入侵停擺了五天。
2018年 3 月,SamSam 發動攻勢,美國亞特蘭大市政府八千員工的電腦全部癱瘓,駭客要求 5.1 萬美元(約 153 萬台幣)的比特幣,市府系統在五天後才恢復正常,是受影響天數最長的事件。期間民眾無法上網繳費、法院不能發拘捕令、繁忙的亞特蘭大機場沒有無線網路可用。
2017 年 6 月,NotPetya 勒索軟體攻擊全球,主要目標是烏克蘭,該國的銀行、鐵路、機場、電信、郵政系統都遭波及,有八成企業使用的烏克蘭稅務系統被綁架。另俄羅斯石油、美國藥廠、跨國海運公司等全球多家企業也受到影響。
2017 年 5 月,Wanna Cry 勒索軟體攻擊中國、香港、台灣、日本;英國醫院因遭駭,手術被迫取消、救護車調度發生問題。其他歐洲國家包括德國鐵路系統、法國車廠、印度警察局、印尼醫院等,共有一百多國受害。
資安大廠思科前執行長 John Chambers 曾說:「只有兩種公司;一種是已遭受駭客攻擊,一種是不知道已遭受駭客攻擊。」惡意軟體以蠕蟲形式潛伏在系統中,且進化到能夠自動散佈感染。一旦攻擊浮上台面,組織的金錢、資產和信用損失,難以估算。
從手動到全自動,惡意軟體的驚人進化
上述各事件彷佛電影情節,但過去一年多已發生在真實世界。這反映出:惡意軟體的進化速度,快得難以想像。以往的惡意軟體主要針對個人,但從 2016 年的 SamSam 事件開始,駭客的目標轉向影響範圍更大的企業或組織,而且一出手就「攻敵必救」,例如 SamSam 初次攻擊目標是鎖定醫院,看準了人命關天,迫使被駭對象就範。
傳統的惡意軟體必須經由使用者下載檔案才會感染,但 Samsam 之後,病毒卻能透過系統的漏洞,自行散佈出去,讓大量使用者被感染。例如 WannaCry 的全球大規模攻擊,就是利用普及率最高的 Windows 軟體上被稱為「永恒之藍」的漏洞,達成全面、迅速的攻擊。即使微軟修補了 Windows 漏洞,並提供使用者更新版本。但駭客技高一籌,仍有辦法找到其他漏洞,伺機而入。
更駭人的是,思科(Cisco)統計,截至 2017 年底,全球網路流量有五成受到加密。原本將資料加密是為了安全,沒想到惡意軟體利用這一點,透過加密技術把自己偽裝起來,在傳輸時更加無法偵測。不少企業為了有效阻絕「加密」惡意軟體,已開始研究如何採用機器學習和人工智慧,將不尋常的加密網路流量抓出來。
繞過沙盒、用合法掩飾非法,物聯網和雲端給了惡意軟體舒適圈
惡意軟體也能繞過「沙盒」(檢測程式執行時是否安全的隔離環境)的安全機制,例如沙盒只能偵測 PDF 檔而不會分析內嵌的 Word 文件,於是惡意軟體就誘導使用者開啟 Word 文件來觸發惡意行為。
另一方面,不少惡意軟體的網路流量,也會模仿合法的網路流量,讓資安人員無法識別。例如擁有大量使用者的 Google 文件或 Dropbox 服務,其龐大的流量形成了 網路「噪音」,當惡意軟體隱身其中時,要分辨出它的存在,難度相當高。
「物聯網」和「雲端」這兩大趨勢,更提供惡意軟體許多藏身之處。例如駭客就大規模利用物聯網裝置的安全弱點來入侵系統,主要是 IoT 裝置多為 Linux 或 Unix 架構,其管控手段比個人電腦更少,惡意人士很容易在物聯網裝置裡建立龐大的黑暗軍隊,病毒平時像殭屍一般,在影印機、資安攝影機等各種裝置裡沈睡,時機一到就被喚醒。
思科 2018 年網路安全報告完整版免費下載
逾五成受害者的平均損失超過 1500 萬台幣
美國財星五百大企業,過去 24 個月幾乎都曾遭到惡意軟體的人侵,網路資安攻擊已經成為企業必須面對的家常便飯,它帶來的不止是片面的金錢損失,還有組織信譽的重創。
上述這些快速演化的惡意軟體,對企業或組織造成了什麼損害?根據思科 2017 年調查,全球 26 國各種大小規模的組織,有 53% 的金錢損失超過 50 萬美元(約台幣 1500 萬元),有 8% 超過 500 萬美元(約台幣 1.5 億元)。若只是錢能解決的贖金問題,還算事小,但有些惡意軟體,意圖造成的不是金錢損失,而是將組織內部的資料刪除,造成的後果更為嚴重。
企業或組織要對抗惡意軟體的入侵,可說防不勝防。一般而言,在組織內部最難以防範的主要有三個領域:行動裝置、公有雲資料、使用者行為。且進入物聯網及雲端時代,要管控這三個面向,挑戰似乎愈來愈大。不少企業也明白必須要加強資安,但最先面對的就是預算限制,不論營利或非營利組織,只能拼命擠出資源來建置資安系統。
工具「多且雜」不代表好,反而可能造成更大資安漏洞
好不容易找到資源之後,企業或組織開始建置資安工具,但在過程中卻不得其法,東拼西湊,採用了好多家資安供應商的服務,看起來「愈多層防護愈安全」,實則不然。因為資安供應商太多,工具彼此不相容,不僅難以管理,而且這種多元、不整合的環境,反而給了駭客很大空間。因為組織內部將出現很多資安權責難以劃分的「三不管」地帶,讓惡意軟體暢行無阻。思科在 2017 年的調查中發現,企業一年比一年採用更多家資安供應商,去年採用11-20家資安供應商的受訪企業占了 25%,比前一年多了 7 個百分點。採用 50 家以上資安供應商的受訪企業占 5%,也比前一年多了 2 個百分點。
更多供應商並不代表資安更完善,它造成了人力上的負擔。資安管理人員必須同時監控多種工具,成本過高。因此愈來愈多企業或組織,偏好「整合性資安解決方案」,而非各自獨立的單一解決方案。
此外,資安大廠思科指出,並非建置了資安系統就萬無一失,企業或組織在防禦外來的惡意軟體攻擊時,不能僅從技術面著手,因為惡意軟體的手法防不勝防,只有 26% 的問題可透過技術來解決,另外 76% 須要其他方面配合。
因此從「人員、政策、技術」三管齊下,是最好的作法。例如在人員方面,要進行使用者訓練,防止他們面對網路釣魚攻擊時,無意中提供了網域憑證或不小心安裝了軟體。在政策方面,則可設定網路隔離、加強 DNS 查詢的管控以避免資料外流。最後在技術方面,除了資安產品的慎選外 ,還要限制管理群組的使用者人數及權限,並加強驗證 。
–
資安,真的很難
台灣企業大調查:逾六成金融業今年急需資安人才,大家快應徵啦!
踏入資安界懶人包!從重要關鍵字到在地社群,刷過一輪才能跨過入門磚
(本文開放合作夥伴轉載。)
