政策 人員 技術 打造資安防護金鐘罩
美國電信巨頭Verizon發佈的《2019年資料外洩調查報告》(Data Breach Investigations Report, DBIR)指出,從醫療、金融、製造業、零售業、酒店餐飲、資訊服務業乃至政府部門,都是資料外洩頻繁的重點產業。而且,這份報告更明確顯示,政府部門的資安風險增高,首度擠下往年排名第1的醫療業,主因是網路間諜與國家活動的活躍程度不斷增強;金融業則持續保持第3名。
2種攻擊災害更嚴重
值得注意的是,製造業過去對網路攻擊的普遍認知是為了獲取情報,但2019年DBIR報告首次顛覆這個認知,Verizon安全研究主管Alex Pinto表示,其實在2018年DBIR報告中就已顯示出,以目的而言,勒索錢財的網路攻擊事件正全面增加,已經超越為了執行網路間諜任務者,且過去1年裡,兩者的差距繼續擴大,如今製造業面臨勒索錢財的攻擊占比已高達68%。
比對2018年及今年的DBIR報告,也可看出駭客的行為傾向發展出2種趨勢:攻擊者正轉向更容易攻擊的目標,以及網路釣魚重心逐漸向高級管理階層傾斜。例如:在金融詐欺事件上,因為EMV晶片信用卡逐漸普及,取代了過往的磁條式卡片,這讓有卡詐欺變得更不容易成功,因此犯罪目標便轉向無卡詐欺,像是基於Web應用的支付詐欺就快速成長。
此外,過往以獲利為目標的犯罪集團通常會選擇攻擊銀行客戶,但如今並非只有坐擁鉅額資產者才有被駭危機,像是知名網路犯罪集團Lurk就以大型企業員工為目標,特別是財務部門員工,或者鎖定會計師、銀行行員之類的職務。這是因為網路犯罪集團明白,除了直接駭入銀行帳戶以外,還有其他不法的賺錢管道,例如:駭入銀行的基礎架構,或篡改轉帳指示、系統,直接從金流的源頭下手,這是駭客們新開發的豐厚獲利來源。
在Fintech趨勢發展下,與金融業有許多密切合作的電信業,也成為駭客盯上的新肥羊。使用數位金融相關功能時,銀行大多會藉由客戶的行動裝置作為第2道驗證方式,或是透過簡訊發送單次使用密碼給客戶,連帶使得網路犯罪集團對電信業的興趣不斷升高,只要駭入電信網路基礎架構,將擁有更多賺錢機會,包括洗錢、高費率簡訊、簡訊轉傳及攔截等。
面對來勢洶洶的駭客,不論是金融、電信或是一般企業機構,為了防止駭客攻擊可能帶來的財物損失,更面對相關的商譽受損、客戶信任度下滑以及後續賠償責任等眾多負面影響。這些都意味著企業必須在資安領域儘可能做到面面俱到,還要能檢視、監控、過濾網路及系統上的活動,而這對於必須嚴格遵守資料保護法規與系統修補要求的金融產業尤其重要,因為一旦違反將可能面臨鉅額罰鍰。
從醫療到鐵路電信無一倖免
我們正面臨駭客從「偷」變「擄資料勒贖」的危險中,特別是2017年到2018年間,對許多企業、機構,甚至個人來說,可是集結各種混亂與黑暗的12個月。
2017年5月12日,患有複雜性區域疼痛綜合症(Complex Regional Pain Syndrome, CRPS)及肌張力障礙(Dustonia)的23歲女子勞頓(Jess Laughton),正在醫院進行截肢手術前所有程序,當她以為長達10年的痛苦即將在手術後結束,醫院突然表示手術必須取消,只因醫院的電腦系統受到病毒攻擊⋯⋯
這正是在資安史上寫下濃重一筆的勒索病毒「想哭」(WannaCry)。全球各地迅速傳出災情,除了英國國民醫療保健服務(National Health Service, NHS)系統旗下45家醫療機構外,還有150多個國家、30多萬台電腦淪陷,包括俄羅斯內政部千台電腦、德國鐵路系統、美國聯邦快遞公司、西班牙電信業者Telefonica、中國教育網路等紛紛中毒,各國基礎設施、企業陷入一片混亂。
根據中國國家網絡與信息安全通報中心緊急通報指出,與以往藉由電子郵件附加檔案進行感染的模式不同,這款WannaCry 2.0結合了蠕蟲(Computer Worm)的方式,利用美國國家安全局(National Security Agency, NSA)被外洩的攻擊程式「永恆之藍」(EternalBlue),持續利用微軟在2017年3月所修補的MS17-010漏洞自我傳播。
2017年6月又有NotPetya勒索病毒接續登場,依據《思科2018年度網路安全報告》(Cisco 2018 Annual Cybersecurity Report, ACR)指出,NotPetya主要目標是烏克蘭,該國的銀行、鐵路、機場、電信、郵政系統都遭到波及,有8成企業使用的烏克蘭稅務系統被綁架。此外,俄羅斯石油、美國藥廠、跨國海運公司等全球多家企業也受到影響。
2018年3月,另一款勒索病毒SamSam再度發動攻勢,由於所有員工的電腦全部癱瘓,而駭客要求5.1萬美元的比特幣贖金,導致美國亞特蘭大市政府的運作因此停擺5天。期間民眾無法上網繳費、法院不能發拘捕令,繁忙的亞特蘭大機場更沒有無線網路可用。
IoT成雙面刃
一波接著一波的資安事件聽起來彷彿是電影情節,但這些全是在1年間發生的真實事件,顯示出惡意軟體的進化速度快得難以想像。以往惡意軟體主要針對個人,但從2016年的SamSam事件開始,駭客目標轉向範圍更大的企業或組織,而且一出手就「攻敵必救」,例如:SamSam在2016年首次設定的攻擊目標就是看準了人命關天的醫院,迫使被駭的對象迅速就範。
駭客的攻擊手法在近幾年也飛速升級,傳統的惡意軟體必須經由使用者下載檔案才會感染,但自從SamSam出現之後,病毒卻能透過系統漏洞自行傳播,讓大量使用者被感染。2017年的WannaCry 2.0,正是利用普及率最高的微軟軟體「永恆之藍」漏洞,達成全面而迅速的攻擊,即使微軟修補了漏洞,並提供使用者更新版本,但駭客仍有辦法找到其他漏洞,伺機而入。
更驚人的是,原本將資料加密是為了安全起見,但思科卻發現惡意軟體反過來利用這一點,透過加密技術進行偽裝,讓其在傳輸時候更加無法被偵測出來。為此,不少企業為了有效阻絕「加密」的惡意軟體,已經著手研究如何運用機器學習和人工智慧,將不尋常的加密網路流量抓出來。只是這場攻防戰打到如今,駭客已發展到能讓惡意軟體繞過「沙盒」安全機制,不再畏懼被檢測出程式執行時是否安全,不知不覺就滲透進使用者的裝置中。
思科指出,「物聯網」(Internet of Things, IoT)和「雲端」(Cloud)這2大發展趨勢提供了惡意軟體很多藏身之處,IoT裝置又多為Linux或Unix架構,其管控手段比個人電腦更少,駭客很容易就在其中建立起一批黑暗軍隊,病毒平時像殭屍一般,在影印機、攝影機等各種裝置裡沈睡,等攻擊時機一到就被喚醒。
歐美搶訂政策反制
各國政府也不打算光是被動挨打而已,紛紛制定相關資安指引或行動方案來反制這些駭客。以醫療產業為例,許多關鍵的醫療機器、技術與功能須連結網路來使用,且經常以WiFi無線通訊傳輸,成為被外部網路攻擊的高風險群,例如:勒索病毒攻擊癱瘓醫療服務,或是駭客竊取病患個人病歷資料,讓敏感的患者資訊遭到外洩,導致醫院付出巨大財務成本,這些威脅從大型醫學中心到小型診所都無一倖免。美國衛生及公共服務部(Health and Human Services, HHS)今年1月公佈「醫療產業網路安全指引」,希望提高醫療產業及從業人員的資安意識,更提供網路安全實作建議。
由於駭客經常入侵企業網路竊取機密資料,更滲透企業的供應鏈,可能造成美國付出經濟優勢、工作機會等成本,美國國家反情報與安全中心(The National Counterintelligence and Security Center, NSCS)今年1月推出「了解風險,提高防禦」的文宣專案,透過各種影片、手冊、傳單以及海報,協助美國境內企業了解與防禦境外的網路攻擊,從企業的供應鏈攻擊、魚叉式網路釣魚(Spear Phishing)攻擊到社交媒體騙局等,也要求企業員工出差境外時,應注意隨身電子裝置的安全。
在英國與荷蘭等國家推動下,歐盟也於今年5月通過針對網路駭客的新制裁行動方案,包括將凍結已知駭客資產,並將禁止其入境歐盟。英國外交大臣韓特(Jeremy Hunt)表示,該方案是阻止未來網路攻擊的關鍵行動,新的制裁是用來告誡打算發動網路攻擊的政府、政權或犯罪集團,國際社會將採取一切必要措施,來維護以國際體系為基礎的規則,並保護社會安全。
目前生活、工作等各方面大小事都聯網的發展趨勢,已不太可能再走回頭路,不論身處哪個產業、生活在哪個地區,享受越來越高效、便利的同時,想因應越來越嚴峻的資安環境,思科建議,「從人員、政策、技術三管齊下」是最好的方法。例如:人員方面要進行相關訓練,防止面對網路釣魚攻擊時,無意中提供了網域憑證或不小心安裝了軟體;政策方面可設定組織內的網路隔離、加強DNS查詢的管控以避免資料外流;而技術方面,除了慎選資安產品,也要限制管理群組的使用人數及權限,並加強驗證,避免讓物聯網成為「惡」聯網、智慧裝置變成你的「製障」裝置。
【完整內容請見《能力雜誌》2019年10月號,非經同意不得轉載、刊登】
2種攻擊災害更嚴重
值得注意的是,製造業過去對網路攻擊的普遍認知是為了獲取情報,但2019年DBIR報告首次顛覆這個認知,Verizon安全研究主管Alex Pinto表示,其實在2018年DBIR報告中就已顯示出,以目的而言,勒索錢財的網路攻擊事件正全面增加,已經超越為了執行網路間諜任務者,且過去1年裡,兩者的差距繼續擴大,如今製造業面臨勒索錢財的攻擊占比已高達68%。
比對2018年及今年的DBIR報告,也可看出駭客的行為傾向發展出2種趨勢:攻擊者正轉向更容易攻擊的目標,以及網路釣魚重心逐漸向高級管理階層傾斜。例如:在金融詐欺事件上,因為EMV晶片信用卡逐漸普及,取代了過往的磁條式卡片,這讓有卡詐欺變得更不容易成功,因此犯罪目標便轉向無卡詐欺,像是基於Web應用的支付詐欺就快速成長。
此外,過往以獲利為目標的犯罪集團通常會選擇攻擊銀行客戶,但如今並非只有坐擁鉅額資產者才有被駭危機,像是知名網路犯罪集團Lurk就以大型企業員工為目標,特別是財務部門員工,或者鎖定會計師、銀行行員之類的職務。這是因為網路犯罪集團明白,除了直接駭入銀行帳戶以外,還有其他不法的賺錢管道,例如:駭入銀行的基礎架構,或篡改轉帳指示、系統,直接從金流的源頭下手,這是駭客們新開發的豐厚獲利來源。
在Fintech趨勢發展下,與金融業有許多密切合作的電信業,也成為駭客盯上的新肥羊。使用數位金融相關功能時,銀行大多會藉由客戶的行動裝置作為第2道驗證方式,或是透過簡訊發送單次使用密碼給客戶,連帶使得網路犯罪集團對電信業的興趣不斷升高,只要駭入電信網路基礎架構,將擁有更多賺錢機會,包括洗錢、高費率簡訊、簡訊轉傳及攔截等。
面對來勢洶洶的駭客,不論是金融、電信或是一般企業機構,為了防止駭客攻擊可能帶來的財物損失,更面對相關的商譽受損、客戶信任度下滑以及後續賠償責任等眾多負面影響。這些都意味著企業必須在資安領域儘可能做到面面俱到,還要能檢視、監控、過濾網路及系統上的活動,而這對於必須嚴格遵守資料保護法規與系統修補要求的金融產業尤其重要,因為一旦違反將可能面臨鉅額罰鍰。
從醫療到鐵路電信無一倖免
我們正面臨駭客從「偷」變「擄資料勒贖」的危險中,特別是2017年到2018年間,對許多企業、機構,甚至個人來說,可是集結各種混亂與黑暗的12個月。
2017年5月12日,患有複雜性區域疼痛綜合症(Complex Regional Pain Syndrome, CRPS)及肌張力障礙(Dustonia)的23歲女子勞頓(Jess Laughton),正在醫院進行截肢手術前所有程序,當她以為長達10年的痛苦即將在手術後結束,醫院突然表示手術必須取消,只因醫院的電腦系統受到病毒攻擊⋯⋯
這正是在資安史上寫下濃重一筆的勒索病毒「想哭」(WannaCry)。全球各地迅速傳出災情,除了英國國民醫療保健服務(National Health Service, NHS)系統旗下45家醫療機構外,還有150多個國家、30多萬台電腦淪陷,包括俄羅斯內政部千台電腦、德國鐵路系統、美國聯邦快遞公司、西班牙電信業者Telefonica、中國教育網路等紛紛中毒,各國基礎設施、企業陷入一片混亂。
根據中國國家網絡與信息安全通報中心緊急通報指出,與以往藉由電子郵件附加檔案進行感染的模式不同,這款WannaCry 2.0結合了蠕蟲(Computer Worm)的方式,利用美國國家安全局(National Security Agency, NSA)被外洩的攻擊程式「永恆之藍」(EternalBlue),持續利用微軟在2017年3月所修補的MS17-010漏洞自我傳播。
2017年6月又有NotPetya勒索病毒接續登場,依據《思科2018年度網路安全報告》(Cisco 2018 Annual Cybersecurity Report, ACR)指出,NotPetya主要目標是烏克蘭,該國的銀行、鐵路、機場、電信、郵政系統都遭到波及,有8成企業使用的烏克蘭稅務系統被綁架。此外,俄羅斯石油、美國藥廠、跨國海運公司等全球多家企業也受到影響。
2018年3月,另一款勒索病毒SamSam再度發動攻勢,由於所有員工的電腦全部癱瘓,而駭客要求5.1萬美元的比特幣贖金,導致美國亞特蘭大市政府的運作因此停擺5天。期間民眾無法上網繳費、法院不能發拘捕令,繁忙的亞特蘭大機場更沒有無線網路可用。
IoT成雙面刃
一波接著一波的資安事件聽起來彷彿是電影情節,但這些全是在1年間發生的真實事件,顯示出惡意軟體的進化速度快得難以想像。以往惡意軟體主要針對個人,但從2016年的SamSam事件開始,駭客目標轉向範圍更大的企業或組織,而且一出手就「攻敵必救」,例如:SamSam在2016年首次設定的攻擊目標就是看準了人命關天的醫院,迫使被駭的對象迅速就範。
駭客的攻擊手法在近幾年也飛速升級,傳統的惡意軟體必須經由使用者下載檔案才會感染,但自從SamSam出現之後,病毒卻能透過系統漏洞自行傳播,讓大量使用者被感染。2017年的WannaCry 2.0,正是利用普及率最高的微軟軟體「永恆之藍」漏洞,達成全面而迅速的攻擊,即使微軟修補了漏洞,並提供使用者更新版本,但駭客仍有辦法找到其他漏洞,伺機而入。
更驚人的是,原本將資料加密是為了安全起見,但思科卻發現惡意軟體反過來利用這一點,透過加密技術進行偽裝,讓其在傳輸時候更加無法被偵測出來。為此,不少企業為了有效阻絕「加密」的惡意軟體,已經著手研究如何運用機器學習和人工智慧,將不尋常的加密網路流量抓出來。只是這場攻防戰打到如今,駭客已發展到能讓惡意軟體繞過「沙盒」安全機制,不再畏懼被檢測出程式執行時是否安全,不知不覺就滲透進使用者的裝置中。
思科指出,「物聯網」(Internet of Things, IoT)和「雲端」(Cloud)這2大發展趨勢提供了惡意軟體很多藏身之處,IoT裝置又多為Linux或Unix架構,其管控手段比個人電腦更少,駭客很容易就在其中建立起一批黑暗軍隊,病毒平時像殭屍一般,在影印機、攝影機等各種裝置裡沈睡,等攻擊時機一到就被喚醒。
歐美搶訂政策反制
各國政府也不打算光是被動挨打而已,紛紛制定相關資安指引或行動方案來反制這些駭客。以醫療產業為例,許多關鍵的醫療機器、技術與功能須連結網路來使用,且經常以WiFi無線通訊傳輸,成為被外部網路攻擊的高風險群,例如:勒索病毒攻擊癱瘓醫療服務,或是駭客竊取病患個人病歷資料,讓敏感的患者資訊遭到外洩,導致醫院付出巨大財務成本,這些威脅從大型醫學中心到小型診所都無一倖免。美國衛生及公共服務部(Health and Human Services, HHS)今年1月公佈「醫療產業網路安全指引」,希望提高醫療產業及從業人員的資安意識,更提供網路安全實作建議。
由於駭客經常入侵企業網路竊取機密資料,更滲透企業的供應鏈,可能造成美國付出經濟優勢、工作機會等成本,美國國家反情報與安全中心(The National Counterintelligence and Security Center, NSCS)今年1月推出「了解風險,提高防禦」的文宣專案,透過各種影片、手冊、傳單以及海報,協助美國境內企業了解與防禦境外的網路攻擊,從企業的供應鏈攻擊、魚叉式網路釣魚(Spear Phishing)攻擊到社交媒體騙局等,也要求企業員工出差境外時,應注意隨身電子裝置的安全。
在英國與荷蘭等國家推動下,歐盟也於今年5月通過針對網路駭客的新制裁行動方案,包括將凍結已知駭客資產,並將禁止其入境歐盟。英國外交大臣韓特(Jeremy Hunt)表示,該方案是阻止未來網路攻擊的關鍵行動,新的制裁是用來告誡打算發動網路攻擊的政府、政權或犯罪集團,國際社會將採取一切必要措施,來維護以國際體系為基礎的規則,並保護社會安全。
目前生活、工作等各方面大小事都聯網的發展趨勢,已不太可能再走回頭路,不論身處哪個產業、生活在哪個地區,享受越來越高效、便利的同時,想因應越來越嚴峻的資安環境,思科建議,「從人員、政策、技術三管齊下」是最好的方法。例如:人員方面要進行相關訓練,防止面對網路釣魚攻擊時,無意中提供了網域憑證或不小心安裝了軟體;政策方面可設定組織內的網路隔離、加強DNS查詢的管控以避免資料外流;而技術方面,除了慎選資安產品,也要限制管理群組的使用人數及權限,並加強驗證,避免讓物聯網成為「惡」聯網、智慧裝置變成你的「製障」裝置。
【完整內容請見《能力雜誌》2019年10月號,非經同意不得轉載、刊登】