網路安全一直是貓捉老鼠的遊戲,然而貓持續壯大而又變得更難以捕捉。
文/Dipti Parmar‧譯/Nica
先前來自三教九流的青少年團體打著 Lapsus$ 旗號,以簡單卻充滿創意且持續不懈的做法,駭進 Okta、T-Mobile、Nvidia、微軟與 Globant 這類科技巨擘「堅不可摧」的要塞。
儘管該團體多次目標皆不明確且各有不同,有時為了娛樂、有時為金錢利益,有時則是意圖使人聲敗名裂,但它再度突顯即便是最大、消息最靈通的公司,持續存在資安裂口。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
美國國土安全部網路安全審查委員會發佈的報告指出,「企業組織現在必須自我保護,其董事會在美國政府與備妥提供安全為上解決方案提升整個生態系統的公司協助下,定義明確的執行方式。」
公司企業在這裡學到的教訓就是,駭客不需要發現新威脅或設計精良的滲透網路手法。利用「相同老方法」的低技術戰略、通用工具與一點點社交工程,駭客就能游走多因驗證(MFA)以及身份識別與存取管理(IAM)系統這類複雜資安政策。
讓我們重新檢視最普遍流行的那些資安威脅,看它們在 2023 年的演化。
初始存取
初始存取,結合攻擊者為了獲得網路存取的各種技術。過程始於透過掃描與偵察方式找出受感染軟硬體與人力資源(包含內部與外部)。攻擊者接著選擇入侵目標與方式,充份利用受感染資產,獲得受害者伺服器或網路的立足點。
網路攻擊技術知識庫 MITRE ATT&CK 框架中,維護了最新的初始存取技術的清單。2023 年內容包括如下:
- 路過式攻擊:利用受感染網站或接管使用者瀏覽器。
- 利用公眾使用的應用:不當利用使用者系統弱點,例如錯誤或不當設定。
- 外部遠端服務:利用 VPN 或其他存取機制連結網路。
- 硬體添加:將新網路、運算或儲存裝置連結主機網路。
- 釣魚攻擊:傳送帶有惡意連結或附加檔案可令攻擊者獲得主機控制的訊息。
- 透過可移除媒體複製:將惡意軟體複製至可移除媒體,將之插入系統,經由自動執行功能執行之。
- 供應鏈破壞:巧妙操控軟體產品交付機制,將惡意軟體插入網路。
- 受信任關係:充份利用擁有受害者系統存取權的第三方個體或企業組織。
- 有效帳號:利用現有使用者與系統帳號,獲得網路存取,規避存取控制並維持不被發現。
■ 檢測:
模式及其變化,是偵測欺詐存取的關鍵。聰明的管理會持續監控登入成功與失敗、多因通知、輸入驗證代碼、檔案存取、建立與刪除,還有媒體的插入與移除。所有不協調事件皆必須調查。
■ 預防:
我們可以發現,攻擊者有許多方式可以進入網路。使用者意識訓練、使用多因驗證的穩健登入憑證、更新軟體修補與降低漏洞可能性並定期測試,皆有助於公司企業預防對手得到存取公司系統最重要的初始存取。
網站欺騙
欺騙在實作上類似釣魚攻擊原理,但基於造成的規模與對個人及企業造成持續性影響,在此有必要特別提出。
就網站欺騙而言,攻擊者冒充合法網站或模仿網域名稱,鎖定各種方式拜訪網站的受眾,埋伏直到毫無戒備的使用者出現。一旦受害者抵達站台,就有無限可能。
冒充受歡迎的網站(或準確來說是網域欺騙)比 IP 欺騙、電子郵件詐騙、MAC 欺騙、DNS 欺騙與 ARP 欺騙這類攻擊還要常見,因為使用者視覺上體驗到的類似他們已認識的實體。
「網站欺騙利用了使用者的輕信、愚弄一直認為自己與知曉並信任品牌互動的使用者。由於這份信任,使用者不太可能再查看網站 URL。」即時網站欺騙保護平台 Memcyco 執行長 Israel Mazin 如此表示。
最新可用資料指出,所有身份識別攻擊中有 62% 利用顯示名稱欺詐,冒充受信任企業組織、個體或品牌(通常是廠商或合作夥伴)。品牌與商業組織必須監控,並採取主動作為,防止網域欺騙。
■ 檢測:
網站欺騙攻擊最初徵兆之一就是不尋常或好到不可能為真的邀請,例如 Amazon 特價提供 iPhone 最新型號 25% 折扣。你很清楚那不可能發生。然而,欺詐者可能會加點急迫感,例如表示提供的折扣兩小時內有效。仔細觀察,必定能發現它是縮減的 URL,或者是拼寫與公司主要網域稍有不同的 URL。快速 Google 搜尋應能確認這點。
■ 預防:
富比士全球企業 2000 強中,近 75% 公司企業未實施不可或缺的網域安全處理措施,顯見網域與網站欺騙一直普遍存在。
只有企業網域才會被仿造欺瞞其實是普遍的誤解。中小企業與新創同樣有風險。請務必使用有聲望的註冊商與代管商。而且,定期監控你的網域與 DNS 設定,以及網站事件記錄,看是否有異常參照或 URL 修飾符的不正常流量警訊。在網站伺服器實施 Web 應用程式防火牆(WAF),並對電子郵件執行以網域為基礎的訊息驗證、報告與一致性(DMARC)。
資料滲透
攻擊者利用從受害者系統竊取資料的方式,總稱滲透。一旦敵人確定並複製想要的資料,就會利用打包、壓縮、加密與隱藏的技巧,避免在竊取(傳輸)期間被偵測到。
最普遍與最具傷害性的攻擊型態之一:勒索軟體,仰賴的就是資料滲透。攻擊者目標是找出儲存機敏資訊的是哪台檔案伺服器,接著鎖住它,或者利用電子郵件將之傳出網路或上傳至外部伺服器。令人震驚的勒索軟體部份統計數據如下:
- 勒索軟體佔所有外洩事件的 10%。
- 勒索軟體攻擊平均損失近兩百萬美元。
- 到 2031 年,重大勒索軟體攻擊將每兩秒發生一次。
■ 檢測:
主動監控網路是否有可疑流量的入侵偵測系統(IDS),是對付資料外洩技術的第一道防線。流進流出未曾見過 IP 位址範疇的流量封包、檔案存取次數不尋常、流出封包數量異常龐大,以及經由通用或非安全通訊協定連結外部伺服器的流出封包,都是滲透威脅的典型指標。
■ 預防:
在自攜設備(BYOD)與遠端工作的年代,預防資料滲透需要包羅萬象、面面俱到的資料安全與治理策略。利用資訊安全與事件管理(SIEM)系統,可以收集與匯聚來自迥然不同 IT 環境與接觸點的資料,進行即時監控與分析。
此外,新一代防火牆(NGFW)提供額外防禦等級,全天候監控所有網路通訊協定,封鎖未經驗證的通道,能夠對付更新、更進階的攻擊。最後,利用零信任架構(ZTA)政策,驗證所有資料傳輸、壓縮與加密活動。
主動檢測與預防
2023 年還不可能知道所有威脅與弱點。不可能認識對手。不可能知曉他們的手法。「隨著能用的精密技術與社交工程工具越來越多,攻擊者更有機會在風險極低的前提下取得成功獲得更大利益。」Mazin 提出警告。
利用使用者行為分析(UBA)、定期威脅獵捕與滲透測試,以及先發制人誘捕系統陷井的主動威脅偵測與應變計劃,就算還不是標準做法,也很快會成為傳統資安策略的通用要件。
(本文授權非營利轉載,請註明出處:CIO Taiwan)