【駭客手法大解密】新型態爬蟲惡意攻擊來襲,企業該如何成功抵禦?

【為什麼我們要挑選這則新聞】資安風險對企業來說一直都是最難處理的問題之一,尤其當現今駭客組織的攻擊手法越來越精準時,防攻技術更是一大挑戰。

乘載全球 30% 網路流量的雲端遞送平台 Akamai 與其台灣代理商零壹科技,將深度拆解企業資安的最大弱點,告訴讀者現今駭客組織最新的攻擊手法有哪些?並教你如何成功抵禦駭客攻擊!(責任編輯:陳美羽)

面對日益嚴峻的資安威脅,全球企業與政府單位均意識到傳統單打獨鬥、仰賴單一設備的防禦機制,早已無法對抗駭客組織的攻擊手法。為此,企業積極引進多元資安設備之外,各國政府之間積極推動跨域聯防機制,如金管會成立金融資安資訊分享與分析中心(F-ISAC)之餘,並定期要求臺灣金融產業定時舉辦資安演練,以強化面對資安威脅時的處理能力。

企業該如何面對駭客組織的「精準攻擊」?

由行政院資安處舉辦、甫落幕的跨國網路攻防演練(Cyber Offensive and Defensive Exercise,CODE 2019),有別於過去採用的情境演練方式,2019 年首度改採實兵演練方式,測試臺灣產業應付駭客攻擊的能力,現場亦有來自美國的資安專家到場,提供與會人員二天的資安實務教育訓練。身為臺灣最大資安解決方案代理商的零壹科技,也獲邀參與此次資安盛會,協助與會人士運用多品牌設備打造資安區域聯防機制。

零壹科技資深協理鄭淑芬說,現今駭客組織正以精準攻擊手法,針對特定組織漏洞進行入侵,全球各地均傳出有不少大型企業受害。零壹科技認為企業若要有效降低資安攻擊帶來的衝擊,必須打造涵蓋閘道端、端點設備、雲端平台等 360 度面向的資安防護機制,將獨立運作的資安設備串連,搭配專業的技術服務團隊,才能有效保護企業的安全。零壹科技擁有超過百位經驗豐富的技術顧問,能提供全方位產品線與技術協助,是企業強化整體資安能力的最佳夥伴。

用「零信任」模式,減少企業被駭的機率

Akamai 臺灣香港經銷通路經理江艾玲認為,近來企業投資在資安防護多半採用驗證、信任的防護模式,但當駭客組織竊取某位員工的安全憑證之後,就可輕鬆存取公司內部網路的任何資源,成為資安防護上的漏洞。Akamai 推動的 Zero Trust Security(零信任)模式,是遵循永不信任、始終驗證的原則,即所有連線存取均需要進行驗證。

儘管不是全新的理論,但卻能透過多層次的資安防護建立一致性與堅固的防護機制,讓企業應用存取安全得到保護。此舉,能有效管理員工的上網行為外,亦可避免受到惡意網站或程式的干擾,減少企業被駭客入侵的機率。

為協助運用 Zero Trust Security 模式提高防護力,Akamai 多年來持續強化資安產品線,除了備受全球用戶肯定的 DDoS 資安防護機制外,陸續推出 Kona Site Defender、Bot Manager、Identity Cloud 等解決方案,助企業建構 360 度資安防護機制。

API 經濟興起,隱藏驚人資安風險

在新資料經濟來臨之際,為滿足消費者多元需求,驅動企業透過 Open API 串連跨界資料,投入各種創新服務的研發。根據 Gartner 研究報告指出,2021 年將有 65% 新應用將經由 API 串接,成為備受全球關注的 API 經濟,而在 Akamai 發佈的「2019 網路/安全現狀報告:零售攻擊和 API 流量報告」中指出,現今 API 服務約佔網路流量的 83%,大部分屬於數位轉型和雲端應用部署等應用。

在亮眼的 API 經濟背後,卻隱藏容易被忽略的資安風險。早在 2017 年 OWASP 公布的前十大資安風險中,就列入企業正面臨 API 攻擊防護能力不足、API 未受保護等兩大問題。而多數企業內部的 WAF 設備,都是針對 Web 應用程式設計,根本無力保護 API 主機的安全,因此至今衍生出憑證濫用、DDoS 攻擊、應用程式層等不同面向資安威脅。

Akamai 資深解決方案顧問角純純指出,現今多數企業對 API 保護意識仍然相當薄弱,甚至有企業誤以為當 API 服務不收費時,就不需要額外加入防護機制,這種似是而非的觀念,正是引爆資安威脅的主要原因。當駭客組織將惡意程式植入 API 主機後,只要消費者透過電腦或手機存取相關服務後,就可能被植入殭屍或木馬程式,除有個人資料外洩的疑慮之外,也會成為日後發動 DDoS 服務的殭屍設備。

「在 Open API 時代中,API 安全與否非常重要,一旦企業沒有做好防護,除本身會遭受到駭客入侵之外,也很可能將惡意程式傳染給其他合作夥伴,造成資安危害將難以估計。」

企業應正視 API 安全,避免發生大量個資外洩

零壹科技資深技術顧問陳鳴豪解釋:「2019 年開始,金管會正大力推動 Open Banking 策略,鼓勵金融產業透過開放 API 方式發展多元業務,臺灣企業應該要正視 API 的安全,方能避免發生大量個資外洩的憾事。Akamai API Gateway 讓 API 與後端 API 伺服器溝通前進行謹慎的身份驗證跟 API 執行內容的檢查,過濾未授權的來源訪問,並可針對 API 的請求次數進行控制,整合 WAF 與 DDoS 的進階防禦功能。」

因應 API 攻擊日益嚴峻,Akamai 基於自家對全球可視化網路為基礎,運用多項先進技術所推出的 Kona Site Defender,可有效保護應用程式網站和 API 服務免受複雜攻擊,如資料竊取、DDoS 等等。這套解決方案最大特色,在於 Akamai 將收集到的威脅形勢情報,轉換成抵禦最新攻擊的防護規則,協助企業在第一時間抵抗新型態的攻擊,協助企業應對不斷進化的安全挑戰。

全球爬蟲工具盛行,嚴重影響應用主機安全

在 API 攻擊外,企業面臨的新型態資安威脅,就是駭客組織運用爬蟲機器人發動慢速攻擊。在行動裝置普及與網路服務多元發展下,智慧型手機已成為消費者查詢各類資訊的首選工具,企業為提供用戶更好網路服務,正大量運用爬蟲工具收集各類諮詢,進而為用戶創造更好的服務體驗。

由於時下各種爬蟲工具盛行,多數企業在面臨網路連線數量暴增,導致應用服務主機效能滑落時,很容易誤以為是用戶端連線增加所致,所以會選擇增加主機數量以提高服務品質。看準此被動做法,駭客主機開始運用惡意爬蟲機器人以大量連線請求,緩慢癱瘓資安設備,再趁機將惡意程式植入應用服務主機之中,進而達成竊取商業機密或散播病毒的目標。

陳鳴豪指出,在全球 Facebook、Yahoo 接連傳出大量個資外洩事件後,駭客組織也結合機器人攻擊,以憑證填充攻擊方式,針對各知名網站或電商平台進行登入測試,以取得更多高價值的資料。此種攻擊型態已對整體資安防護造成極大衝擊,一旦造成消費者權益受損,對公司商譽造成極大傷害。角純純表示,根據 Akamai 研究報告顯示,光是從 2017 年 11 月初至 2018 年 6 月底的八個月間,全球出現惡意登入嘗試總共超過 300 億次以上。

大數據分析快速抓出惡意爬蟲攻擊

Akamai Bot Manager 特色在於可協助資訊人員辨識來訪的爬蟲機器人,是屬於單純資料查詢或者屬於駭客組織的惡意連線。Akamai Intelligent Platform 負責處理全球 15~30% 網路流量,搭配雲安全智能大數據分析引擎(CSI)的分析能力,可快速識別出在大量連線需求的背後,是否為惡意爬蟲機器人所發出。目前 Akamai Bot Manager 已可識別 1,400 種以上的已知爬蟲工具,能預先針對異常連線需求採取相對應措施。

其次,Akamai Bot Manager 能從鍵盤輸入節奏、滑鼠軌跡、IP 信譽評分、瀏覽器指紋、http 異常等資訊,藉此判定大量連線請求是否正常,並確認對業務與網路資源的影響。除斷定爬蟲工具是否為惡意外,該程式還依照各項惡意工具的特性,助資安人員制定不同的管理策略,如提供假資訊、延遲提供等等,讓企業免於陷入惡意爬蟲機器人的攻擊,同時避免駭客組織運用其他爬蟲機器人進行攻擊。

因應全球法規要求,身份認證不可少

誠如前述,全球各地不斷傳出個資外洩事件,為此,各國政府均透過制定法規要求企業強化資料保護等級,如臺灣個人資料保護法、歐盟通用資料保護條例(GDPR)、加州消費者隱私法案(CCPA)、加拿大個人資訊保護和電子文件法案(PIPEDA)等。一旦企業沒有善盡資料保護工作,當爆發資料外洩事件時,便可能會被處以高額罰金,甚至可能會被要求暫時停止提供服務。

江艾玲說,Akamai Identity Cloud 設計之初,就是要為全球用戶提供所需管理與可視化平台,進而打造無縫、安全且可延伸的用戶體驗平台。這套基於 Akamai Intelligent Edge Platform 設計的解決方案,可協助企業改善資料防護等級,以便因應不同法規要求,加上提供 API、SDK 兩種機制,能與現有的應用服務完美整合,是保護個資安全的最佳選擇。

引進合適資安工具及合作夥伴之外,零壹科技建議企業應該同步持續強化資安教育工作,透過多管齊下方式降低遭到惡意程式入侵的機率,全方位保護商業機密安全。

(本文訊息由 零壹科技 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿 / 產品訊息提供,可寄至:[email protected],經編輯檯審核並評估合宜性後再行刊登。本文提供合作夥伴轉載,首圖來源:零壹科技。)

延伸閱讀

【新時代資安佈局】東海大學導入 Akamai ETP 雲端情資防護服務, 高效擋下潛藏威脅!
Akamai 2019 資安報告:遊戲產業成駭客最新「攻擊目標」,一年半網攻次數破百億


點關鍵字看更多相關文章: