賽門鐵克發佈第22期《網路安全威脅報告》 具有政治動機的針對性攻擊成長驚人
【2017年5月11日臺北訊】賽門鐵克(納斯達克:SYMC)今日發布第22期網路安全威脅報告(Internet Security Threat Report,ISTR),網路攻擊者於2016年展現了前所未有的野心,因此去年的攻擊亦超越異常,當中包括牽涉數百萬美元的虛擬銀行劫持,以及受到國家資助的犯罪組織公然試圖破壞美國的大選過程。
賽門鐵克公司大中華區首席運營官羅少輝表示:「攻擊複雜性的進一步增加和網路攻擊的不斷創新一直是安全威脅環境的兩大特點。但今年,網路犯罪的攻擊動機和重點都發生了巨大轉變。賽門鐵克發現,某些國家加大了政治操縱和破壞性攻擊的力度。同時,通過利用相對簡單的IT工具和雲服務漏洞,網路罪犯所造成的破壞也達到了前所未有的程度。」
賽門鐵克的《網路安全威脅報告》為企業與消費者提供了全面的網路安全威脅概況,包括對全球威脅活動、網路犯罪趨勢以及犯罪動機的深度洞察。報告重點包括:
顛覆及破壞性攻擊不斷湧現
網路罪犯正執行具政治破壞力的攻擊,逐漸將目標轉向新的目標群。針對美國民主黨的網路攻擊和後來被竊資料洩漏,均反映了罪犯傾向採取高調、公然的行動,這些行動是為了動搖和干擾目標機構和國家而設計。儘管涉及破壞行為的網路攻擊在傳統上較為罕見,但包括美國大選與Shamoon病毒等幾次的行動顯然可見,都顯示罪犯有嘗試影響政治和挑撥煽動其他國家不和的動機與趨勢。
民族國家的野心日益高漲
新一代攻擊者表現出對金融的巨大野心,但其攻擊目的或許在於資助其他隱蔽或顛覆性攻擊活動。目前為止,大型金融搶劫案都在無形中發生,並造成了數十億美元的損失。儘管部分攻擊事件是由網路犯罪組織所實施,但賽門鐵克首次發現民族國家似乎也參與其中。賽門鐵克揭露了北韓或與攻擊孟加拉、越南、厄瓜多爾和波蘭等國銀行有關的攻擊證據。
賽門鐵克公司大中華區首席運營官羅少輝指出:「那種肆無忌憚的入侵實在令人難以置信,這也是我們首次發現到有強烈跡象顯示主權國參與金融網路犯罪。攻擊者至少竊取了9,400萬美元,而他們的設定目標甚至可能更高。」
攻擊者使用常用軟體作為“武器”:電子郵件成為首選
2016年,賽門鐵克發現網路罪犯使用PowerShell(安裝在個人電腦中的一種常用指令碼語言)與Microsoft Office檔案做為主要感染攻擊武器。雖然系統管理員也會使用這些常用的資訊科技工具進行日常管理工作,但也有愈來愈多網路罪犯會在攻擊行動中加入這些工具,既不容易留下犯罪痕跡,同時更能夠躲避普通檢查。由於PowerShell被攻擊者廣泛使用,因此賽門鐵克所觀察到的PowerShell檔中,95%為惡意郵件。
此外,藉由電子郵件進行感染的比例同樣增加。電子郵件已經成為網路攻擊者實施感染的首選途徑,對用戶的安全構成了嚴重威脅。賽門鐵克發現每131封電郵中,便有一封包含惡意連結或附件,比例為五年來新高。此外,商務電郵攻擊 (BEC) 騙局通過向用戶發送精心編排的釣魚郵件進行攻擊——攻擊者每天將超過400家企業作為攻擊目標,並在過去三年內從企業中詐騙超過三十億美元。
屈服於數位敲詐:美國人最有可能支付贖金
勒索軟體繼續成為肆虐全球的問題,也是罪犯一門有利可圖的賺錢生意。2016年,賽門鐵克共監測到超過100個肆意傳播的新型惡意軟體家族,數量是過去紀錄的三倍之多。在全球勒索軟體攻擊事件的數量較去年增長了36%。
美國依然是勒索軟體攻擊鎖定的頭號目標國家,台灣則是全球第32大攻擊目標。賽門鐵克發現,64%的美國勒索軟體受害者更情願支付贖金,相較全球,只有34%受害人願意支付贖金。不幸的是,同意支付贖金導致了更加嚴重的後果—2016 年,勒索軟體的平均贖金較往年激增 266%,贖金金額從2015年的294美元攀升至1,077美元。
雲端漏洞:網路犯罪的下一戰線近在眼前
隨著用戶愈來愈依賴雲端服務,各大機構也面臨各種攻擊正面突襲攻擊。2016 年,由於用戶在網上將過期資料庫保持開放狀態,並且未開啟身份認證,這導致一個供應商的數以萬計的雲資料庫遭到劫持,並遭遇勒索贖金。
雲端安全對於各企業首席資訊科技總監(CIOs)來講,依然是一項重大的挑戰。賽門鐵克的調查數據顯示,企業首席資訊科技總監對企業所採用的雲應用數量並不瞭解。當被問及這一問題時,大多數受訪者認為自身企業所採用的雲端應用數量最多為40個,但企業的實際應用數量已接近1,000個。這一認知差距可能會加大雲端應用程式的安全風險,尤其可能會令員工在未有足夠政策和流程的情況下使用雲端技術,增加使用雲端應用程式的風險。這些在雲端上找到的漏洞也愈見成形。賽門鐵克預測,雲端資料運用中的安全風險正在逐漸加大,除非這些企業首席資訊科技總監能夠嚴格控制企業內部所使用的雲應用,否則,他們將會發現環境的轉變,目睹威脅入侵,未來將面臨嚴重的安全威脅。
賽門鐵克網路安全建議
隨著攻擊者不斷改進攻擊手段,企業與消費者應該採取多種措施來實現安全防護。賽門鐵克建議先從一些最佳作法開始,詳列如下:
企業層面:
- 不要毫無準備:採用先進的威脅情報方案,有助找出漏洞入侵跡象並迅速回應。
- 作最壞打算:故障管理確保用戶的安全框架是可測量及可重複,得以優化,而且還可幫助用戶汲取教訓以改善安全部署。用戶亦可考慮與第三方專家合作,強化危機管理。
- 實施多層次防護:實施多層次防護策略,以針對閘道、電郵伺服器和端點的攻擊向量,這應該也包括在整個網路上實施雙重認證、入侵偵測或防護系統(IPS)、網站漏洞惡意軟體防護及 Web 安全閘道解決方案在內的安全防護。
- 提供有關惡意電子郵件的持續培訓:培訓員工讓他們認識魚叉式網路釣魚電郵和其他惡意電郵攻擊的危險,包括採取向企業報告此類嘗試性攻擊的措施。
- 監控資源:確保對企業資源和網路進行監控,以便及時發現異常和可疑行為,並將其與專家所提供的威脅情報相關聯。
消費者層面:
- 更改所有設備裝置與服務的預設密碼:在所有電腦、物聯網裝置和Wi-Fi網路上使用強效而獨特的密碼。不要使用「123456」或「password」等普通和容易猜中的密碼。
- 確保作業系統及軟體維持最新版本:軟體更新經常附帶的修補程式,有助修補有可能被攻擊者利用而新發現的安全性漏洞。
- 使用電郵時加倍小心:電子郵件是最常見的感染途徑。刪除任何可疑電郵,特別是內藏連結及/或附件的電郵。如收到任何需要啟用macros巨集後才可閱讀內容的微軟Office電郵附件,應格外小心。
- 檔案備份:為數據資料備份是對抗勒索軟體感染的最有效措施。攻擊者會把受害人的檔案加密,令其無法使用,並以此為勒索籌碼。如有備份,清除感染後便可以復原檔案。