一直以來,網絡攻擊即服務存在已久,但過往其經營模式仍處於摸索階段,但近日思科 Cisco 公佈的 2017 年中網絡安全報告便揭示了急劇演進的保安威脅和日益俱增的攻擊數量,並預測潛在的「摧毀服務(Destruction of Service,DeOS)」攻擊將會冒起。
DeOS 能夠清除企業的備份,以及受到攻擊後作為系統和數據復原所需的「安全網」檔案資料。此外,隨著物聯網(IoT)的出現,一些主要行業已把許多業務拓展至網上,令攻擊層面及潛在攻擊規模擴闊,加深這些威脅所帶來的影響。
近期的網絡保安事故如 WannaCry 及 Nyetya,反映了這些看似傳統惡意程式的攻擊正迅速蔓延並帶來廣泛的影響,但實際上它們的攻擊更具破壞性,暫時稱之為「摧毀服務」攻擊,相比傳統網絡攻擊可帶來更嚴重的破壞,讓企業完全無法復原。
另外,物聯網(Internet of Things,IoT)繼續為網絡罪犯提供新機會,其保安弱點及系統的漏洞,將促成更多網絡攻擊活動,帶來更嚴峻的影響。最近的 IoT 殭屍網絡(Botnet)活動已經反映出,一些攻擊者可能已整裝待發,發動影響廣泛的攻擊活動,能夠向整個互聯網造成破壞。
面對這些網絡攻擊,評估保安措施的成效相當重要。檢視「威脅偵測時間(Time-to-Detection,TTD)」的進度是一個方法,TTD 是指網絡受到感染和偵測該威脅之間的時間窗口。更低的威脅偵測時間能有效限制攻擊者的操作空間和減少入侵所造成的損害。
威脅現況:盛行及銷聲匿跡的攻擊
思科保安研究人員於 2017 年上半年間觀察惡意程式的演進,從中發現網絡入侵者如何調整其傳播、迷惑及躲避的技巧。尤其思科觀察到他們不斷要求受害用戶透過點擊連結或開啟檔案來啟動這些威脅。此外,他們正在開發潛伏於電腦記憶體內的無檔案惡意程式,由於這類程式於每次重新開機時會被清除,故此難以被偵測及調查。最後,入侵者會利用匿名化及分散式基建,例如 Tor 代理服務,以掩蓋策動攻擊的指揮及控制活動。
儘管看到利用漏洞攻擊包(Exploit kits)所進行攻擊的趨勢大幅下降,惟其他傳統攻擊手法卻有復甦的跡象:
垃圾電郵數量劇增:由於網絡入侵者轉用其他行之有效的方法,例如經電郵散播惡意程式以謀利。研究人員預期這些藏有惡意程式附件的垃圾電郵數量會持續增加,而漏洞攻擊包的增長情況則仍保持起伏不斷。
間諜及廣告軟件繼續活躍:由於間諜及廣告軟件為用戶帶來滋擾多於真正有害,故經常被網絡保安人員忽視,然而它們不斷滋擾會為企業構成風險。思科在一個為期四個月的調查中對 300 家企業進行抽樣調查,發現當中有 20% 企業遭受三種盛行的間諜軟件家族感染。在企業的環境中,間諜軟件可以竊取用戶及公司資訊,削弱設備的保安狀態及增加惡意程式的感染。
勒索軟件不斷演進,例如「勒索軟件即服務(Ransomware-as-a-Service)」的增長,能讓任何技術水平的罪犯都能策動網絡攻擊。勒索軟件過去一度成為新聞焦點,更有報導指它在 2016 年為全球造成愈 10 億美元的金額損失。然而,這個數字可能對某些組織造成誤導,因為他們面臨的可能是更大但並未被發現的安全威脅。另外,專家發現一種商業電郵詐騙(Business Email Compromise,BEC)模式,它透過電郵誘騙受害企業轉帳金錢予攻擊者,這種社交工程現已成為高獲利的攻擊型態。根據美國聯邦調查局轄下的互聯網罪案投訴中心(Internet Crime Complaint Center),從 2013 年 10 月至 2016 年 12 月期間,商業電郵詐騙已造成逾 53 億美元的金錢損失。
各行各業面臨相同挑戰
由於網絡罪犯不斷採用複雜及強頑的攻擊,各行各業正面對日趨嚴苛的挑戰,甚至跟上一些基本的網絡安全要求也有難度。隨著物聯網的發展,資訊及營運科技相互融合,企業正面臨可視性及複雜性之間的角力。思科網絡安全能力基準研究(Security Capabilities Benchmark Study)的其中一部份,訪問了 13 個國家近 3,000 名不同行業的保安主管,結果發現在各行業中,網絡保安團隊愈來愈難以招架為數極甚龐大的攻擊,以致其保護工作愈趨被動。
只有不到三分之二的企業會調查網絡保安警報。某些行業如醫療業和運輸業,這方面的數字則近 50%。即使對網絡保安回應最迅速的行業(如金融和醫療業),他們僅能為業務緩和少於 50% 已知且真確的攻擊。
入侵事件成為警示:在大多數行業中,至少 90% 的企業在受到入侵後會適當地改善其網絡保安防護。一些行業(如交通運輸)的保安回應能力則較弱,僅達 80%。
每個行業的重點調查結果:
公營機構:在偵測到的威脅中,32% 被識別為真確的威脅,但當中僅 47% 最終被修復。
零售業:32% 的業者過去一年因網絡攻擊損失收入,另外約四分之一的業者流失客戶或商機。
製造業:40% 的行內網絡保安專家表示,他們並沒有正式的保安策略,亦沒有遵從標準化的資訊保安政策,例如 ISO 27001 或 NIST 800-53。
公共服務:網絡保安專家指出,對他們而言,最大保安風險是針對性的攻擊(42%)和進階持續滲透攻擊(Advanced Persistent Threats,APTs)(40%)。
醫療業:37% 的醫療機構表示,針對性的攻擊對其機構構成極高保安風險。
專家對企業的建議
為回應現今日趨精密的網絡攻擊者,企業應採取主動的防護行動,思科保安團隊建議:
-定期更新網絡基建及設備應用,讓網絡攻擊者無法利用已知的保安弱點進行攻擊。
-透過整合的防護來應對複雜的網絡環境,並限制建立孤島式網絡安全架構的投資。
-及早讓企業主管參與網絡保安項目,確保他們全面了解風險、回報及預算限制。
-建立清晰指標,藉此驗證及改善網絡保安的實施。
-對比及檢視以角色為本的培訓或坊間網絡課程兩種成效。
-以積極的回應來平衡防護策略,切勿於完成安全控制或過程的設定後便拋諸腦後。
新型摧毀服務面世:小心競爭對手報復!留意 TDD 時間
https://www.facebook.com/hkitblog