本文說明2019年九大威脅何以可能影響2020年,如何針對這些威脅改變防禦策略。
文/Michael Nadeau 譯/Nica
預測網路安全的未來很有趣,但對必須決定哪些威脅最該做好準備的資安專家而言不見得有用。「你無法對未來將發生的事成功預測,因為永遠是超出預期的那些事造成真正的問題。」Akamai的資安情報回應團隊資深工程師Chad Seaman如此說明。
若2020最大威脅是最新出現或無法預期的,要怎麼在來年把工作重點聚焦在那上面?就從尋找今年最可能在規模與戰術上改變2020的最大威脅開始吧。
CSO回顧了2019年最常見、最嚴重威脅的領導性研究報告,訪談這些研究人員,尋求對這些威脅走向的建議,以及企業組織應如何針對2020年調整防禦因應這些威脅。以下是我們得到的資訊。
一、惡意軟體感染設備
維護端點安全是企業組織持續不懈的戰役。據Kaspersky2019年的 IT Security Economics 報告指出,在2019年有半數企業組織的公司自有設備遭惡意軟體感染。也有半數在員工自有設備上發現惡意軟體感染。
就企業而言,公司設備遭惡意軟體感染,據Kaspersky報告所述每次事件平均成本為美金273萬,成為代價最昂貴的事件。這方面中小企業則是美金11萬7仟,數字明顯少了許多。
2020預期:Kaspersky資安研究人員Dmitry Galov發現員工自有設備帶來的風險在2020年將會擴大。他發現公司讓員工使用其自有設備的接受度越來越高,因為可以降低成本、啟動遠端工作能力並提升員工滿意度。值此之故,攻擊者將員工設備視為目標,當成規避企業防禦的方式。「基本上,使用者個人設備的保護會比企業設備少,因為使用者多半極少使用額外做法保護他們的手機與電腦免於潛在威脅。」他如此說明。「當這樣的趨勢持續下去,公司與員工自有設備的意外事件就會增加。這種攻擊媒介一直都很誘人,因為這代表攻擊者不再需要目標企業的帳號(例如,用釣魚攻擊電子郵件傳送企業郵件)。」
2020忠告:Galov深信,公司企業必須審查並更新個人設備相關政策,接著徹底執行。「在安全性、正確權限管理與為使用者提供安全性解決方案上訂定嚴格的公司政策,是保護公司及其資料的必要項目。」他表示。「除了管理技術議題外,安全性意識的訓練也相當重要,因為它們能建立全體員工網路衛教的標準。」
二、網路釣魚
據 2019 Verizon Data Breach Investigations Report 指出,過去這年將近有三分之一的外洩事件涉及網路釣魚。網路間諜攻擊的數字躍升至78%。2019年最糟的網路釣魚新聞就是這方面的犯罪者,得益於設計精良、現成的工具程式與範本而日益精進。
Akamai的 SOTI Report: Baiting the Hook,針對一位網路釣魚工具套件開發者所提供的網路釣魚即服務(phishing-as-a-service)抽絲剝繭。這名開發者在社交媒體上有門面與廣告。從美金99元起跳的價格,依郵件服務的選擇向上遞增。所有工具套件皆附有安全性與規避功能。「低價與高級品牌目標相當誘人,使得罪犯在尋求開業進入網路釣魚市場的門檻很低。」該報告編輯如此表示。綜觀這些高階品牌目標包括有Target、Google、Microsoft、Apple、Lyft與Walmart。
2020預期:網路釣魚工具套件開發者會提供更精良的產品,再度降低啟動網路釣魚戰役所需技術能力。據 IDG Security Priorities Study 指出,有44%的公司表示提升其安全性意識與員工訓練,乃2020首要之務。攻擊者會藉由最小化或隱藏常見的網路釣魚特徵的方式,提升其網路釣魚戰役的品質因應。預計還會大量使用商務電子郵件入侵(BEC)【譯註:亦稱變臉詐騙】,攻擊者試圖以詐欺或遭感染的內部帳號或第三方帳號,傳送看似合法的網路釣魚郵件。
2020忠告:不斷更新你的防網路釣魚訓練,並持續執行。對抗BEC,必須有一套政策,要求所有員工在收到金錢或支付指令相關的要求時,以電話確認。
三、勒索軟體攻擊
勒索軟體攻擊雖然並非最常見的網路安全意外事件,但付出的代價卻是最高。據 Kaspersky 2019年的 IT Security Economics 報告指出,約有40%的中小企業與大型企業組織在2019年經歷勒索軟體意外事件。
據 Sophos Labs 2020 Threat Report 指出,端點保護工具越來越能偵測出勒索軟體,這也讓勒索軟體開發者更加瞭解這些工具的使用技巧。「改變惡意軟體的表面遠比改變它的目的或行為模式容易得多,這也是何以時下勒索軟體依仗混淆的方式得勝之故。」Sophos下一代科技工程主管Mark Loman如此表示。「不過,2020年勒索軟體會改變或增加特性混淆某些反勒索軟體,提高賭注、增加風險。」
有些混淆作法是讓勒索軟體顯示來自受信任來源。Sophos報告引用了部份範例:
寫個Script列出目標主機,將之與 Microsoft Sysinternals 的PsExec工具、特權網域帳號及勒索軟體結合。
透過Windows Group Policy Object充份利用logon/logoff script。
濫用Windows Management Interface在網路內部大量傳遞。
2020預期: Loman發現勒索軟體攻擊者不斷調整方式提升能力。「其中最顯著的進步便是勒索軟體攻擊者以自動化工具混合人類謀略,自動、主動攻擊提高酬碼、增加風險,造成最大影響。」他表示。「此外,只加密各個檔案少量部份,或將反勒索軟體防護較常失效的作業系統啟動在診斷模式下,能讓攻擊者持續規避許多防禦。」
「勒索軟體攻擊今年大鳴大放,這種型態的威脅沒理由變少。」Kaspersky的Galov如此表示。「勒索軟體逐漸將目標放在基礎設施、大型企業甚至智慧城市上。」
勒索軟體開發者會讓他們的程式碼更擅於閃避,便於在系統裡建置立足點、加密更多資料不被注意,甚至可能擴大規模到其他網路。「今年我們甚至看到出現在Network Attached Storage (NAS)上的攻擊,這類設備多半被認為安全,且能免於此類威脅。」Galov說道。
2020忠告:一如往常,對付勒索軟體的最佳防禦便是擁有整體關鍵資料當下、經過測試的備份。讓這些備份獨立於你的網路之外,如此便不會遭勒索軟體加密。員工訓練也是關鍵環節。「為保護自身免於勒索軟體威脅,企業組織必須實施嚴格的安全性政策,為員工引進網路安全訓練。」Galov如此表示。「額外的保護措施,像是保障存取資料的安全、確保備份安全存放,以及在伺服器上實施應用程式白名單技術,是必要的。」
「擁有強健的安全性控制,針對所有端點、網路與系統實施監控與應變措施,在軟體更新發佈時進行安裝,都是至關重要的。」Loman說道。
四、協力廠商風險
據Kaspersky 2019年的IT Security Economics報告指出,大型企業與中小企業涉及協力廠商(包括服務與產品兩者)的意外事件具相似比率,分別是43%與38%。據One Identity調查指出,大部份企業組織(94%)會授權協力廠商存取他們的網路,而有72%的企業會授與特權存取。但只有22%的企業信任這些協力廠商不會存取未經授權的資訊,而有18%回報外洩事件是因協力廠商存取所導致。
Kaspersky研究顯示,中小企業與大型企業皆強力要求協力廠商簽署安全性政策同意書-有75%中小企業與79%大型企業這麼做。面臨協力廠商必須對外洩事件負責、必須向協力廠商要求取得賠償金時,出現明顯差異。實施該政策的企業,有71%回報收到賠償金,且僅有22%未實施該政策的公司行號收到賠償金。
2020預期:企業經營將轉而更以數位化方式連結供應商及合作夥伴。這會提高風險也會提升風險意識。遺憾的是,攻擊者也會變得更高明。
「最近,我們觀察到BARIUM或APT41這類新群體,參與了設計精良的供應鏈攻擊,對付軟硬體製造商,只為了滲透世界各地的安全防護基礎設施。」Galov表示。「這之中含括了2017與2019年揭露的兩大精密供應鏈攻擊:CCleaner攻擊與ShadowPad,還有針對賭博公司的其他攻擊。處理這些威脅要角任一造成的感染,是相當複雜的處理程序,因為他們通常會留下後門,以便過段時間後再回來引發更嚴重的破壞。」
2020忠告:知道誰存取你的網路,確保他們僅擁有必要權限。擁有針對協力廠商存取的政策,執行溝通與強制執行的規則。確保針對所有協力廠商實施安全性政策,詳述責任、安全性期望與意外事件發生時的作為。
「企業組織最能自我保護免於這類攻擊的方式,便是確保不是只有企業本身,而是連合作夥伴都遵循高標準網路安全。」Galov表示。「若協力廠商能以任何型式存取內部基礎架構或資料,網路安全政策就應該在整合處理前建立。」
五、DDoS攻擊
據Kaspersky 2019年的 IT Security Economics 報告指出,42%大型企業與38%中小企業曾於2019年經歷分散式阻斷服務(DDoS)攻擊。狀況與較受媒體注意的勒索軟體事件不相上下。從財務觀點來看,DDoS攻擊令中小企業平均遭受十三萬八仟元美元的損失。
攻擊者持續進化,提升DDoS攻擊的效率。舉例而言,九月Akamai報告了新的DDoS媒介:Web Services Dynamic Discovery (WSD),這是一套多點傳播發現通訊協定,用來定位服務在本地網路裡的位置。利用WSD,攻擊者可以大規模定位並感染設定錯誤、內部連結的設備,擴大DDoS攻擊範疇。
2020預期:Kasperksy的Galov認為DDoS攻擊在2020年將因5G堀起與物聯網設備數量的提升,持續「發光發熱」。「水源供應、電網、軍事設備與金融機構這類關鍵基礎設施的傳統邊界,在5G連結的世界裡將花費更多在前所未見的領域。」他表示。「這一切都將需要新的安全標準,連結速度的提升,將令阻止DDoS攻擊發生面臨新的挑戰。」
2020忠告:幫個忙,檢查你內部連結設備是否有錯誤設定與未更新的弱點。「這是安全性衛教,基礎安全性衛教。」Akamai的Seaman如此表示。
很遺憾,這對因連結消費設備造成的DDoS攻擊風險並無幫助。「祖母到Best Buy挑個新的網路攝影機放在車道上看誰開進來,不會瞭解這個設備的相關衛教。」Seaman表示。「這正是我們持續看到的惡化問題,問題不在祖母。越南確實有個人在他的小店裡裝設VDR保全系統。而他最關切的是這個網路攝影機是否會被用來對銀行發動DDoS攻擊。」
六、應用軟體漏洞
Veracode的State of Software Security Vol. 10 報告指出,85,000套應用軟體中有83%經測試至少有一個安全性漏洞。很多應用漏洞更多,該研究總共發現一千萬筆漏洞,而所有app裡有20%至少有一個高機敏性漏洞。這為攻擊者提供許多機會充份利用潛在0-day弱點與可利用臭蟲。
這份報告的作者在部份資料上看到好的一面。修復率,尤其是高機敏漏洞的修復率正在提升。整體修復率為56%,這是從2018年的52%開始進步的數字,而極高度機敏性漏洞被修復的機率則是75.7%。而最鼓舞人心的是,由於DevSecOps處理方式使用了頻繁掃瞄與測試軟體的處理方式,縮短了修復漏洞的時間。就一年掃瞄十二次或更少的應用軟體而言,修復的中位時間為68天,但平均每日掃瞄或頻率更高者修復率可降至19天。
2020預期:儘管資安與開發團隊用盡全力,軟體出現漏洞總是無可避免。「時下多數軟體都極度不安全。這種狀況會持續到2020,尤其有90%應用軟體使用來自開放源碼函式庫的程式碼。」Veracode共同創辦人暨CTO Chris Wysopal說道。「2019我們看到一些正面的AppSec跡象。企業組織逐漸不僅看重找出安全性漏洞,還修復它們,並且為這些漏洞排列出對他們而言風險最大的優先順序。…我們的資料顯示尋找與修復弱點,逐漸佔據處理程序較大比重,像改善功能一樣重要。」
2020忠告:如Veracode研究報告所述,更頻繁掃瞄與測試app是否具有弱點,並排列出必須修復的最致命漏洞,才是有效的防禦。Wysopal還呼籲公司行號密切留意安全性負債。「應用軟體安全性方面不斷成長的威脅之一就是安全性負債概念-隨著時間流逝,應用程式是累積還是消除漏洞。」他說道。安全性負債的增長,讓企業組織容易遭受攻擊。
「就像使用信用卡負債一樣,若你開始就有一大筆差額,每個月僅支付新的開銷,就永遠無法消除這筆差額。」Wysopal表示。「在AppSec下,你必須處理新的安全性發現,同時處理掉舊的。」
七、雲端服務/主機代管基礎架構意外事件
據Kaspersky於2019年的IT Security Economics報告指出,該年度有43%的企業營運因協力廠商雲端服務受感染而導致資安意外事件。雖然雲端相關意外事件不在中小企業最常出現的清單上,但它們確實讓小型公司付出代價,這些公司多半較仰賴主機代管服務。感染主機代管基礎架構意外事件,對中小企業造成的平均損失為十六萬兩仟美元。
2019年處於高峰的活動之一便是線上支付詐欺。Magecart犯罪集團過去一年特別忙碌。這個集團利用雲端的錯誤設定,修改購物車程式碼。使用線上電子商務服務的商務組織未意識到變化,直到顧客對詐欺收費提出申訴。
企業組織依舊必須擔心因錯誤設定雲端服務,導致資料曝露在網際網路上。攻擊者定期掃瞄網際網路抓取這類已曝光資料。幸好,像Amazon與Google這類雲端平台廠商,已於2019年推出新的工具與服務,協助企業組織適切設定其雲端系統,並找出是否有錯誤致使資料處於未受保護的狀態。
2020預期:惡意程式碼與財務報酬(單Megecart帶來的金額粗估就有數百萬美元)的續航力,意謂著線上支付詐欺在2020年將有增無減。Magecart的成功勢必啟發仿效者的靈感。企業組織將花費更多精力對付這類及其他雲端威脅。據 IDG Security Priorities Study 指出,僅27%企業組織擁有線上雲端資料保護技術,有49%正研究與試驗中。
2020忠告:進行電子商務script原始程式碼審查,並執行子資源完整性(SRI)安全政策,這麼一來被改過的script沒有你的准許就無法載入。確認你的雲端供應商執行自有程式碼評估預防詐欺。定期掃瞄是否有會將你的資料曝露在網際網路上的錯誤設定。
八、物聯網漏洞
據Security Industry Association (SIA) 2019 Security Megatrends報告指出,物聯網(IoT)及其產生的資料,是2019年對安全性從業人員具有第二大影響力的趨勢。沒有什麼比物聯網的成長更狂放又難以預測的了。研究調查公司Statista粗估2020年將會有六十六億至三百億個連結網際網路的設備,預測範圍大到毫無幫助。
對多數企業組織而言,物聯網帶來的威脅已成為2019年的優先考量。Marsh Microsoft 2019 Global Risk Perception Survey調查發現,有66%應答者將物聯網視為網路風險;有23%認為風險「極高」。「這些物聯網設備是競爭對手的軟目標,因為它們多半未做程式修補且設定錯誤,此外它們還『無法管理』,因為不支援端點安全性代理程式。」CyberX工業網路安全副總裁 Phil Neray 如此表示。「值此之故,它們很容易遭對手破壞,獲得進入公司網路的立足點,進行破壞性勒索軟體攻擊、竊取機敏性智慧財產,調取運算資源發起DDoS作戰與挖礦劫持。」
CyberX的 2020 Global IoT/ICS Risk Report分析過去十二個月來讓物聯網設備易受攻擊的幾個最常見的安全性缺口。報告顯示了幾個範疇的重大進展。在發現弱點的54%調查站台裡,遠端可存取設備掉了30%。直接網際網路連結也由40%掉到27%。
壞的一面則是,在71%的站台裡發現過期作業系統,相較於去年是53%,而有66%的站台無法自動進行防毒軟體更新,相較去年則為43%。
2020預期:Neray認為曝露物聯網設備的風險,在2020年會隨著連結設備數量的增加與「民族國家對手及網路犯罪動機與精巧度的提升」而加劇。能源設備、製造業、化學、製藥與汽油瓦斯這類工業環境尤其危險,他表示。「這些傷害足以導致更嚴重的後果,包括耗費成本的工廠停機、威脅人類安全與生態環境浩劫。」
Neray將建築物自動化管理系統(BMS)視為攻擊者主要目標。「它們通常由設備管理團隊,在最少安全性專家的條件下進行開發,通常不知不覺就曝露在網際網路上,而且多半不受公司資訊安全監控中心(SOC)所監控。」
2020忠告:Neray建議公司行號遵循多層次深度防禦策略,結合:
1.更強健的網路分段管理
2.限制使用2FA與密碼金庫這類強大存取控制的協力廠商,遠端存取工業控制網路
3.無代理器網路安全監控,在敵手炸毀或關閉其設施前加速偵測並減緩物聯網攻擊速度。
終究,最佳防禦仰賴的是著重企業組織而非技術的處理方式。「以沙烏地阿拉伯石化設施安全系統的TRITON攻擊為例,關鍵缺陷之一便是沒有人認為自己是最終該對工業控制網路安全性負責的那個人。」Neray表示。「因此,問題在於嚴重失誤的安全性監控,與沒人檢查DMZ裡防火牆是否由安裝它們的委外公司做了適切設定。我們對CISO的建議是開始動作,掌握IoT與OT安全性的所有權,像IT安全性那樣以整體方式看待IoT與OT安全性,將它整合到你SOC工作流程與安全性堆疊裡。」
九、挖礦劫持(Cryptojacking)
讓我們用好消息來終結這份清單吧:加密貨幣挖礦攻擊預期將在2020年稍稍減緩。雖然加密貨幣挖礦攻擊在Kaspersky 2019年的IT Security Economics報告上,並非大型企業或中小企業中發生頻率最高的,但2019年已證實它們讓企業付出代價,對財務上造成的平均影響為一百六十二萬美元。
2020預期:加密貨幣挖礦事件因加密貨幣價值的起落而定,但攻擊者能輕鬆執行挖礦劫持計畫,意謂著這種威脅會持續整個2020年。「挖礦在2019年逐漸式微,而我們也不覺得這種風向會有所改變。」Galov說道。「加密貨幣挖礦變得不那麼有利可圖,不能說為了對抗此類威脅採取的措施毫無影響。」
2020忠告:利用安全性解決方案偵測加密貨幣挖擴威脅,並留意加密貨幣價值的高峰,這會鼓勵更多挖礦劫持攻擊行為。