Sophos 2017 網路安全預測報告
2016 年發生大量且多樣化的網路攻擊,包括由劫持網路安全攝影機的高調分散式阻斷服務攻擊 (DDoS),到美國大選期間政黨官員宣稱遭到的駭客入侵等。我們也發現無論大小組織,資料外洩的事故日益增加,而且牽涉重大的個人資料損失。今年即將結束,我們應該思考這些趨勢在 2017 年將以何種面貌出現。
當前和新興攻擊的趨勢
破壞性 DDoS IOT 攻擊將會增加。在 2016 年,Mirai惡意軟體表現出利用不安全的消費者 IoT (物聯網) 裝置去發動具破壞力的 DDoS 攻擊的潛力。Mirai 只攻擊了一小部分裝置和漏洞,並使用基本的密碼猜測技術。然而,網路犯罪份子會發現擴展攻擊面很容易,因為許多物聯網裝置所使用的老舊程式碼,都是根據維護不良的作業系統和具備已知漏洞的應用程式而開發。我們預期 IoT 漏洞、更有效的密碼猜測技術和更多遭駭 IoT 裝置會被用於 DDoS,或是用來鎖定您網路中的其他裝置。
從入侵漏洞轉向成目標式的社交攻擊。網路犯罪份子越來越善於利用終極的弱點 – 人性。越來越精密和具說服力的目標式攻擊,目的就是誘騙使用者自我妥協。例如,我們經常會看到電子郵件中指明收件人是誰,並宣稱他們積欠未清債務,而寄件者有權收款。透過令人震驚、恐嚇或假裝擁有執法單位的權威,都是常見和有效的戰術。電子郵件會將受害者引導到惡意連結,只要使用者在恐慌中點擊就會遭受攻擊。我們已經很難在這種網路釣魚攻擊中發現明顯錯誤來加以分辨。
金融基礎架構遭受攻擊的風險更大。使用目標式網路釣魚和「捕鯨」式手法的情況繼續增加。這些攻擊使用和公司高階主管相關的詳細資訊來誘騙員工付款給欺詐者或遭駭的帳戶。我們預期還會發生更多針對重要金融基礎架構的攻擊,例如鎖定與 SWIFT 連繫機構的攻擊,在 2 月就使孟加拉國中央銀行耗費 8100萬美元的成本。SWIFT 最近在一封給客戶銀行的信中,承認還有其他類似的攻擊存在,而且預期還會有更多出現:「這個威脅非常難纏並具高度適應力,而且非常複雜,已經揮之不去。」
利用網際網路內在的不安全基礎架構的漏洞。所有網際網路使用者使用的都是古老的基本通訊協定。由於它們無所不在,因此幾乎不可能改造或更換它們。這些長期以來一直是網際網路和商業網路的骨幹的古老通訊協定有時糟得令人吃驚。例如,鎖定 BGP (邊界閘道通訊協定) 的攻擊可以破壞、劫持或癱瘓大部分的網際網路。在 10 月份針對 Dyn 發動的 DDoS 攻擊 (由數量龐大的 IoT 裝置發動),癱瘓了 DNS 供應商以及部份網際網絡的存取權限。這是我們見過最大型的攻擊之一,而攻擊者卻宣稱這還只是小試身手。大型 ISP 和企業尚可採取一些措施來回應,但如果個人或國家身陷網際網路最深層的安全缺陷,可能就無法避免受到嚴重的損害。
攻擊的複雜性增加。結合多個技術和社交因素的攻擊越來越普遍,並反映出對受害組織的網絡長期仔細查探或許已經存在。攻擊者在入侵多個伺服器和工作站之前,早就已經開始竊取資料或積極採取行動。這些攻擊是戰略性而非戰術性,而且由專家密切管理,可以造成更多傷害。這與我們熟知的預先程式化和自動化的惡意軟體的威脅很不同 ─ 現今的複雜威脅具有耐力且能躲避偵測。
使用內建的管理程式語言和工具進行更多攻擊。我們看到更多採用 PowerShell 的入侵程式,這是 Microsoft 用於自動化管理工作的程式語言。由於 PowerShell 是一種指令碼語言,因此可以躲避針對可執行檔的防禦。我們還看到更多攻擊會使用滲透測試和其他網路上的管理工具,如此一來就不需要滲透,也不會被懷疑。這些強大的工具需要同樣強大的管制措施。
勒索軟體繼續進化。隨著越來越多使用者意識到來自電子郵件的勒索軟體風險,犯罪份子開始找尋其他管道。有些犯罪份子開始試驗不同惡意軟體,在勒索得手再次進行感染;有些則開始利用內建工具,因為如此一來根本沒有可執行的惡意軟體,能躲避針對可執行檔的端點保護偵測。最近有一個例子,受害者被要求將勒索軟體傳染給兩個朋友以換取解開檔案,這樣其兩個朋友也都要支付贖金才能解開自己的檔案。勒索軟體建立者也開始使用加密以外的技術,例如刪除或損壞檔案標頭。最後,由於「舊款」勒索軟體仍在網路上出現,使用者可能會因為支付對象已經不再運作,無法挽救受害檔案。
個人 IoT 攻擊出現。家庭 IoT 設備的使用者可能會忽略甚至不在乎他們的嬰兒監視器是否遭到劫持,成為攻擊他人網站的跳板。但一旦攻擊者「掌控」家庭網路上的一部設備,他們就有機會入侵其他設備,例如包含重要個人資料的筆記型電腦。我們預期會發生更多這種攻擊,也會出現更多使用攝影機和麥克風來窺探家庭的攻擊。網路犯罪份子總是會找到獲利的方式。
惡意廣告增長和網路廣告生態系統的劣化:透過線上廣告網路和網頁來傳播惡意軟體的惡意廣告已經存在多年了。但在 2016 年,我們看到更多惡意廣告出現。這些攻擊凸顯出整個廣告生態系統的更大問題,例如點擊詐欺,亦即產生不符合真實客戶興趣的付費點擊。惡意廣告實際上就是創造點擊欺詐,會同時危害使用者和竊取廣告客戶的金錢。
加密的缺點。隨著加密無處不在,安全產品將更難檢查流量,使得犯罪份子更容易躲藏而不被發現。不出所料,網路犯罪份子正在以創新的方式使用加密。安全產品需要緊密整合網路和客戶端功能,以便在端點上解密程式碼後快速識別安全事件。
針對虛擬化和雲端系統的攻擊日益增加。對實體硬體的攻擊 (如 Rowhammer) 增加了鎖定虛擬化雲端系統的新型漏洞入侵的可能性。攻擊者可能會濫用在共用主機上運作的主機或其他客戶端、攻擊權限模式,並有可能會存取到其他人的資料。並且,隨著 Docker 和整體容器 (或「無伺服器」) 生態系統變得越來越流行,攻擊者將越能在這個相對較新的運算趨勢中發現和利用漏洞。我們預期會出現積極嘗試發動這類攻擊的情形。
對國家和社會的技術攻擊。以技術為基礎的攻擊已變得越來越政治化。社會面臨著假資訊 (如「假新聞」) 和投票系統遭駭的風險。例如,研究人員已經證明有可能出現讓某當地選民反覆投票而不被發現的攻擊。即使國家從來沒有涉入干擾對手的選舉,但由於這攻擊本身是一個強大的武器,所以大眾仍會認為是有可能發生的。
組織應該如何防範這些新的威脅?
不幸的是,許多組織仍然沒有正確的安全基礎。我們提供六個組織應該採行的措施,以幫助他們防範更複雜的威脅。
由多層式轉換成整合式安全。許多組織現在擁有多個安全解決方案,這些解決方案曾經都是同級最佳的產品,但現在成本太高,而且難以管理。轉換成整合式的解決方案,讓所有元件可以彼此溝通和協同作業,有助於解決這個問題。例如,如果惡意軟體讓端點的安全軟體離線,網路安全機制就應該自動隔離該設備,從而降低整個環境的風險。
部署新一代端點保護。隨著勒索軟體變得無所不在,加上端點變得越來越多樣化,組織必須重新將重心放在端點保護。但是採用特徵碼為基礎的解決方案已經自顧不暇,而且可能會漏失零時差攻擊。請選擇能夠識別和防止幾乎在所有漏洞中使用的技術和行為的解決方案。
根據風險安排安全的優先性。沒有組織能夠有系統地保護一切資源,100% 的預防已經不切實際。請釐清與每個系統相關的風險,並據此安排適當的資源。風險瞬息萬變:請找尋可以動態追蹤它們的工具,並相應做出反應。但務必確保這些工具簡單且足堪使用。
自動化基礎防護。你不能日復一日浪費時間在產生相同的報告以及執行日常的安全工作上。在可行之處簡單且輕鬆地實現自動化,藉此您可以將寶貴的資源集中在嚴重的風險和高價值的工作上。
教育員工和建立流程以阻止和減緩社交攻擊。由於社交攻擊現在占主導地位,因此教育使用者和讓他們參與預防更加重要。將教育重點放在每個群體最有可能遇到的威脅。並確保流程保持更新:過時的指南 (如網路釣魚) 可能會適得其反,提供安全錯覺。
改善防範措施的協調作業。網路犯罪是有組織的犯罪;防範也必須有組織。這意味著應該選擇可以消除組織內部障礙的工具和流程,藉此每個人都可以對相同攻擊做出快速回應。這也可能意味著您應該在法律和實務面與其他公司和政府合作,藉此可以抵擋廣泛攻擊,並可從別人的經驗中學習。
如需更多資訊,請造訪 Sophos.com。