網路犯罪將充份利用提升的技巧與COVID危機期間引發的弱點,提升攻擊效率。這些新式攻擊方式會是什麼模樣?
文/Evan Schuman 譯/Nica
去年(2020)三月新冠病毒(COVID-19)的打擊,迫使許多企業不得不做出改變,因而導致企業威脅版圖出現明顯的變化。更令人憂心的是這一切就發生在幾天之內,代表所有事務都必須先忽略安全性這環,遠端站台的建立尤其如此。
新冠病毒也加速了雲端發展,比2020年預期的還要快非常非常多。這些屬於資料流量與人員很大一部份轉向新的遠端站台,從平均90%位於內部轉成90%外部,同時以指數型成長的速度開啟更多物聯網裝置的閘門。更糟的是,這其中還包括最不安全的非企業級的物聯網裝置,它們慣於搭VPN傳輸通訊的便車,潛入機敏性系統。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
企業威脅版圖變化如此之大,自然也會預期資訊安全長(CISO)佈署不同的網路安全策略、使用不同的網路安全工具。若必須被保護的目標全然不同,難道沒有必要一視同仁提供不同的防禦機制?
大多數企業網路防禦還未出現這樣重大變化,因為歹徒仍未對他們的攻擊手法做出有目標性的改變。歹徒增加了攻擊數量與密度,但沒有特定攻擊方式。幾乎全世界都認為這只是短暫現象,歹徒很快就會改變手法,極有可能今年(2021)就會看到。
這些新式攻擊方式會是什麼模樣?我們訪談各個領域的網路安全專家找出答案。
一、遠端裝置的新攻擊手法
管理顧問公司 McKinsey & Co.的專家合夥人 Jim Boehm 預估,新攻擊手法會聚焦在遠端辦公室裝置上,這些裝置如今掌握的機敏性資料遠比病毒流行前多很多。以他的團隊最近處理過的用戶端站台為例,他們發現了VPN通訊協定偏向以工作永續性為基礎,而非先考量安全性保護。該企業已經用這樣的方式建立VPN,也就是若連結中斷,VPN會維持某種程度的『基本功能』,像是重新連結至WebEx。「若電子郵件用戶端被連回『之前中斷的』VPN,會繼續傳送內部電子郵件。」他表示。「WebEx對話會自動重新建立並傳輸資料。『這個動作建立了可供利用的切入點』,在VPN初始化前,網路竊賊可以在裝置上建立永續連結。」
當VPN僅佔所有資料傳輸10%或更少時,企業組織或許認為這是可以忍受的風險範圍。但如今VPN已然佔據所有資料傳輸的90%,CISO就必須重新評估了。
Boehm補充說明,幾年內或許不再需要VPN,但要達到這種境界必須付出很多努力。「在一個全然零信任的世界,你可以擺脫VPN。」他表示。「但時下除了Google外,沒人能真的做到零信任。」
二、利用欠佳的雲端設定
雲端攻擊是另一大隱憂。Sohpos首度研究科學家 Chet Wisniekski 認為,雲端組態設定與人類天性正處於磨合期,這正是歹徒想要的。
Wisniewski以某企業為例,該組織握有多個大型企業級雲端廠商的雲端帳號。「供應商間的假定完全不同」──他指的是密碼複雜度與新物件相關預設設定、新佈署實例與不溯及既往套用等等諸如此類。
「以Google Cloud而言,很多地方必須手動要求套用,」而這並非 Microsoft Azure 與 Amazon Web Services (AWS) 預設的運作方式,Wisniewski說明。「對某個環境擁有越多知識可能讓你更有效率,但你越是熟悉其中一種環境的操作,就越容易在另一個環境裡犯錯。」
因為在相同平台上有時也會出現不一致的狀況,例如新佈署有新預設設定,而舊佈署卻維持舊有預設設定,Wisniewski表示。當企業組織握有多個雲端帳號──撇除許多連CISO或CIO都不知曉的地下IT雲端帳號,再加上新舊雲端佈署的組合,在在都會讓安全性組態難以保持一致。
Wisniewski的觀點在於這樣的混亂狀態被歹徒視為可供利用的優勢,進而尋找用他們能力所及的方式入侵帳號。他引述了某假想攻擊者的說法:「Amazon預設如此這般設定,就是我們可以濫用的錯誤解讀政策。」
三、充份利用遠端辦公室建置的錯綜複雜
首先企業組織有太多遠端站台/家庭辦公室的建置太過複雜,以致於有相當多不一致狀態讓歹徒有機可乘。因這場大規模疫情而草率拼湊的遠端站台更是如此。
「家庭網路組態設定的多樣性令人難以想像。看一眼就能發現一些匪夷所思的設定,」SAS首席資訊安全工程師 John Henning 如此表示。「因為想要支援員工的家用網路,而開啟了關不上的潘朵拉盒子。這是事倍功半的工作。時間上最佳投資報酬率的做法是,教育你的使用者並提供指導方針與最佳實作。」
[CIO都在讀: AI最常見的應用有哪些? ]
[CIO都在讀: 10個數位轉型成功案例 ]
[CIO都在讀: 所有企業都想要的12種CIO技能 ]
這麼說也許不合常理,但Henning發現「技術能量最高的員工很可能就是最大隱憂。擁有技術能力的員工熱愛改造們的家用網路。『他們會』開啟通訊埠22,這樣便能SSH到自己個人伺服器上。『或者他們會』開啟通訊埠3389,以便在度假中RDP到工作的筆記型電腦。較不具備技術能力的員工比較不會進行這種設定上的調整。雖然設定預設值有時不盡理想,但時下市場上大部份預設值提供的都是可令人接受的安全性設計。」攻擊者可能將目標瞄準企業較具技術能力的員工,期望找到更多漏洞供其利用。
是否還有其他隱憂?Hennings預期攻擊者會檢索整個公開OSINT站台。「攻擊者會檢索公開OSINT站台,尋找有漏洞的員工裝置,例如Shodan站台。若你在Shodan找到受感染的裝置,進而得到公司資訊或切入的媒介,無須驚訝。」他表示。
四、藉VPN建立切入企業系統的管道
2021年開始有這麼多的資料透過VPN流動,WatchGuard Technologies 的技術長 Corey Nachreiner 預估歹徒們會更積極嘗試識別VPN系統,作為建立進入機敏性公司系統管道的直接通道。他認為識別這類使用者相對簡單。
「許多特洛伊木馬程式(Trojans)與用戶端殭屍電腦都能讓攻擊者手動執行或編寫命令列提示(CLI)指令。這就足以提供許多方式偵測現有VPN軟體了。例如,ipconfig 指令可以列出含有VPN所用虛擬介面的網路介面名稱。以此為例,若你的惡意軟體自動化剖析ipconfig結果,就能尋找名為 TAP-Windows Adapter v9或TAP-NORDVPN Windows Adapter v9 的網路卡」Nachreiner繼續解釋。「『可供利用』的其他可能名稱因不同VPN用戶端而有所差異,但聰明的攻擊者會從最受歡迎的VPN用戶端鎖定想要的目標輕鬆編譯清單。任何情況下,你都能編寫script將惡意軟體自動化,在所有新受害者電腦上啟動ipconfig,在結果中發現常見的VPN介面名稱時再回傳旗標。」
以此為起點,攻擊者「可以專以蠕蟲功能開始,輔以長久以來某些惡意軟體已有的平行移動技術,集中鎖定VPN可存取的網路。」Nachreiner表示。
五、佈署人工智慧及機器學習型式的惡意軟體
有一個值得探討的可能性,就是最終在2021年會實現的是攻擊者轉向透過人工智慧與機器學習對付企業,事實上是利用壞的人工智慧感染企業好的人工智慧,ForgeRock資深副總裁 Ben Goodman 表示。「2021年,我們會看見因為更多企業組織橫跨整體系統佈署人工智慧平台,而有更多資料毒害攻擊發生。前幾年,惡意駭客發現他們可以透過餵給人工智慧非法資料,引發人工智慧產生負面或不準確結果,攻擊人工智慧與機器學習軟體。這從2021年開始甚至之後的幾年,將成為更大議題。」他表示。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
「歹徒將藏有其他圖像的圖片餵給人工智慧軟體,讓人工智慧進行與預設相反的做為,如此便能毒害人工智慧演算法。」Goodman補充說明。「舉例來說,當某個人工智慧用途是偵測詐騙行為時,欺詐者可以提交錯誤資料,讓軟體無法檢測出詐欺活動。」由於許多資安平台利用人工智慧與機器學習識別現有資料異常偵測網路攻擊,他認為攻擊者很可能擺脫這種偵測方式。「2021年,或許有必要再利用單獨人工智慧,為一開始由人工智慧軟體所搜集的資料,進行一致化與安全性確認。」
六、量子運算破解加密
可能性不大但仍有的一項疑慮便是歹徒將利用超強馬力-尤其是那些背後有金援的國家行動者(俄羅斯、北韓、中國與伊朗等等)。全球服飾企業 Levi Strauss & Co.,副資訊安全長(CISO) Steve Zalewski 對量子運算與它的破壞能力感到憂心,無論它是否會讓加密防禦完全失效。「這將改變遊戲規則。」他表示。
就企業CISO的實務面來看,Zalewski認為:「量子運算是如今找出問題的解決方案。」他將量子運算與早期Cray超級電腦比較。「它(Cray)真正派上用場的領域是類比運算與天氣模式。Cray在一般用途的運算上表現沒有那麼好。」對尋求避開加密的歹徒而言,最終或許會證明它是有效的。
(本文授權非營利轉載,請註明出處:CIO Taiwan)