網(wǎng)絡(luò)攻擊一直持續(xù)進(jìn)化,面對如此先進(jìn)復(fù)雜的駭客攻擊,為了做到更好的防御機(jī)制,機(jī)器學(xué)習(xí)讓防火墻、代理伺服器以及相關(guān)資安軟硬體設(shè)備更聰明,是提升資安產(chǎn)品防御能力的重要關(guān)鍵之一
克蘭去年耶誕節(jié)前,惡意程式BlackEnergy導(dǎo)致大停電事件,引發(fā)資安圈震撼,但這不是單一事件,后來甚至發(fā)現(xiàn),同樣的惡意程式還出現(xiàn)在烏克蘭采礦公司和鐵路公司。而發(fā)現(xiàn)這個關(guān)連性的就是趨勢科技前瞻威脅資深資安研究員Kyle Wilhoit,他本身則專精各種前瞻威脅和關(guān)鍵基礎(chǔ)建設(shè)(SCADA)領(lǐng)域的研究。
因此,他也從既有網(wǎng)絡(luò)攻擊帶來的6大風(fēng)險開始,進(jìn)一步推論未來可能改變網(wǎng)絡(luò)攻擊的6種模式,以及資安產(chǎn)業(yè)應(yīng)該如何因應(yīng)如此復(fù)雜網(wǎng)絡(luò)攻擊的6大因應(yīng)對策。
攻擊帶來6個層面的風(fēng)險
現(xiàn)在的網(wǎng)絡(luò)攻擊鎖定幾個重要的面向,首先,關(guān)鍵基礎(chǔ)建設(shè)的安全面臨重大的挑戰(zhàn)。
Kyle Wilhoit舉例,在去年耶誕節(jié)前夕,烏克蘭西部電廠出現(xiàn)大規(guī)模的停電,事后追蹤發(fā)現(xiàn),這其實就是俄羅斯駭客在烏克蘭電廠植入惡意程式BlackEnergy所導(dǎo)致的結(jié)果。這起停電事件,造成烏克蘭西部電廠無法運(yùn)作,總計造成225,000人大規(guī)模停電。
據(jù)Kyle Wilhoit和趨勢科技前瞻威脅研究團(tuán)隊追蹤發(fā)現(xiàn),其他像是這個惡意程式除了造成烏克蘭電廠停電外,也發(fā)現(xiàn)這個惡意程式已經(jīng)入侵烏克蘭最大的采礦公司以及鐵路公司系統(tǒng),雖然都只是初步的入侵,尚未造成真正大規(guī)模的損害事件,卻也讓人必須審慎面對相關(guān)惡意程式對關(guān)鍵基礎(chǔ)建設(shè)安全帶來的威脅與風(fēng)險。
再者,網(wǎng)絡(luò)攻擊不僅帶來身分資料外泄與身分竊盜的隱憂,更可以發(fā)現(xiàn)駭客已經(jīng)成為商人,以獲利為主要的目的。
根據(jù)趨勢科技的統(tǒng)計,造成身分竊盜與個資外泄有幾個重要的管道,首先,造成最大量身分資料外泄的管道就是內(nèi)部外泄(Insider Leak),比例超過四成(44.2%);其次為駭客入侵或被植入惡意程式(15.2%);第三名是隨身可攜裝置遺失(12.8%);第四名則是實體遺失(9.3%);第五名則是不小心造成的個人身分資料外泄(6.2%)。
外泄身分的原因有許多是護(hù)照遺失,當(dāng)然,許多黑市交易盛行,也有不少網(wǎng)站提供偽造護(hù)照的服務(wù),有的提供護(hù)照掃描也有提供整本新護(hù)照。“殺頭生意有人做,賠錢生意沒人做,“駭客為了賺錢也無所不用其極,Kyle Wilhoit說,駭客除了賣槍之外,販?zhǔn)鄹鞣N身分資訊更是獲利主流,許多特殊管道的網(wǎng)站中,掃描一本美國護(hù)照需要支付30美元,但如果是掃描一份美國駕照,則需要支付145美元,若是偽造一本美國護(hù)照,就得支付780美元(約25,000元)。
若要評估不同國家的黑市交易是否有利于這些網(wǎng)絡(luò)犯罪,Kyle Wilhoit表示,德國就是駭客認(rèn)為高獲利但進(jìn)入門檻高的利基國家,可以從德國人使用的各種信用服務(wù)中,取得個人相關(guān)的敏感資訊;至于印度的地下黑市,則是駭客們視為可以嘗試各種新型態(tài)詐騙服務(wù)原型的國家,不僅可以銷售詐騙軟體,也同時可以販?zhǔn)巯嚓P(guān)的硬體設(shè)備,這都是一個很好的測試領(lǐng)域。
第三,網(wǎng)絡(luò)攻擊也開始鎖定一些POS系統(tǒng),Kyle Wilhoit指出,駭客就可以從獲得的信用卡資料賺錢,不論是賣信用卡資料或者是用來買東西都是獲利模式;而駭客鎖定美國加州的醫(yī)院,植入勒索軟體加密醫(yī)院系統(tǒng)和文件,逼的醫(yī)院必須支付贖金解密以恢復(fù)醫(yī)院正常運(yùn)作,都是駭客獲利賺錢的方式。
第四,許多家庭使用者也因為家用路由器有漏洞,而遭到網(wǎng)絡(luò)攻擊。Kyle Wilhoit表示,家用路由器是家庭對外連網(wǎng)的重要核心,駭客只要想竊取一般家庭用戶的敏感資料,就可以鎖定家用路由器發(fā)動攻擊,最常見的攻擊手法就是DNS劫持(DNS Hijacking)。也就是說,駭客會透過惡意的瀏覽器腳本語言,去改變家用路由器中的DNS(網(wǎng)域)設(shè)定,也可以趁機(jī)偷走使用者敏感的帳號及登入資料等。
最后,不論是隱私保護(hù),或者是落實供應(yīng)鏈安全,都是面對網(wǎng)絡(luò)攻擊必須留意的2大環(huán)節(jié)。根據(jù)統(tǒng)計,有74%的駭客入侵是透過魚叉式網(wǎng)絡(luò)釣魚攻擊方式,而在駭客入侵后,只需要1小時的時間,就可以和命令與控制伺服器(中繼站)完成連線,駭客就可以順利下令;有90%的惡意程式,至少會感染一臺以上的主機(jī),這對駭客是相對有利的立足點。
Kyle Wilhoit指出,先前就有駭客集團(tuán)鎖定伊朗的僑民,發(fā)動相當(dāng)復(fù)雜的釣魚信件攻擊,駭客的目的是要竊取伊朗僑民的電子郵件和通訊錄等,只要駭客到手相關(guān)的資料,便幾乎就可以做到為所欲為。其他像是BlackEnergy影響采礦和鐵路公司,就是一種供應(yīng)鏈的安全。
對于駭客而言,Kyle Wilhoit認(rèn)為,只要利用一般使用者相信的管道或信任的系統(tǒng),就可以堂而皇之的竊取更多敏感性資料,不論是人事或薪資系統(tǒng),或者是電子病歷系統(tǒng),甚至是POS系統(tǒng)整合商、零售業(yè)者和法律事務(wù)所等,都是一般人信任的管道,假若駭客利用這種信任基礎(chǔ),就可以以此為據(jù)點,透過相關(guān)的供應(yīng)鏈關(guān)系,進(jìn)一步取得更多更敏感的資料。以目前來說,包括零售業(yè)者、醫(yī)療保健業(yè)者、政府部門、金融產(chǎn)業(yè)、高科技業(yè)者以及相關(guān)的能源業(yè)者,都是被駭客高度鎖定的產(chǎn)業(yè),透過復(fù)雜的供應(yīng)鏈關(guān)系,甚至可以取得更多不為人知的敏感個資。
改變網(wǎng)絡(luò)攻擊的6種方式,6種因應(yīng)對策
Kyle Wilhoit坦言,現(xiàn)在的網(wǎng)絡(luò)攻擊一直在持續(xù)進(jìn)化,所有的改變,都可能會改變未來網(wǎng)絡(luò)安全攻擊與防御的模式。
他表示,未來的網(wǎng)絡(luò)攻擊可以看出6種特性,首先,有一些科學(xué)家也在研究可以植入人體的填充物或晶片,假設(shè),駭客開始找這些植入人體晶片的漏洞時,這是實體還是虛擬的網(wǎng)絡(luò)攻擊形式呢?其次,現(xiàn)在許多人都認(rèn)同,生物辨識是相對安全的身分認(rèn)證系統(tǒng),但當(dāng)駭客可以駭入以生物辨識為主的多因素認(rèn)證系統(tǒng)時,這樣的生物辨識還是安全的辨識方式嗎?
第三點,未來犯罪情資的蒐集一定會比現(xiàn)在更聰明,使用大資料技術(shù)做情報分析已是必然。第四點,為了避免無人機(jī)或無人駕駛以及機(jī)器人等干擾犯罪偵查,也必須避免可能的漤用;其他像是針對關(guān)鍵基礎(chǔ)建設(shè)的犯罪性攻擊,或者是把現(xiàn)在實體機(jī)器上的命令與控制伺服器搬上云端等,都會大幅改變現(xiàn)在網(wǎng)絡(luò)攻擊的樣貌。
面對如此先進(jìn)復(fù)雜的駭客攻擊,資安產(chǎn)業(yè)是否有能力面對這樣的改變呢?Kyle Wilhoit認(rèn)為,許多資安業(yè)者努力保護(hù)使用者的資產(chǎn),資安研究人員投入更多心血時間做研究,資安公司投入更多的資源在相關(guān)技術(shù)領(lǐng)域,在2016年可以看到的產(chǎn)出就包括:超過600篇的部落格文章及白皮書,7億個以上的病毒特征碼,也有195,000個資安研究員將投入資安研究。
為了做到更好的防御機(jī)制,Kyle Wilhoit表示,有6種方式可以提升我們的防御能力。首先,機(jī)器學(xué)習(xí)的能力是提升資安產(chǎn)品防御能力的重要關(guān)鍵,像是可以讓防火墻、代理伺服器以及相關(guān)資安防御軟體及硬體設(shè)備更聰明;再者,一些具備適應(yīng)性能力的Honeypot(蜜罐),更容易讓駭客受騙上當(dāng)。
第三點,資安公司也會定期對駭客發(fā)動反擊,蒐集更多駭客的攻擊行為與資料;第四點,許多組織之間將更頻繁的分享更多的資安資訊;第五點,防火墻也會從現(xiàn)有的企業(yè)環(huán)境滲透到家用環(huán)境;最后,大資料分析技術(shù)可以讓數(shù)位鑒識變得更容易,也更有機(jī)會從這些跡證中,找到駭客入侵的蛛絲馬跡。
Kyle Wilhoit認(rèn)為,現(xiàn)在駭客的攻擊每天都會發(fā)生,為了竊取個資和金融資訊,駭客的目的是為了賺錢,這也使得駭客竊取個人隱私的攻擊更是家常便飯,目前看來,這樣的駭客攻擊背后大概有兩種支持者,一種是國家支持的駭客攻擊,許多關(guān)鍵基礎(chǔ)設(shè)施的中斷便是這類;另外一類就是為了獲利的駭客攻擊。
駭客攻擊越來越積極頻繁,我們便得正式該如何防御?Kyle Wilhoit便說,好的機(jī)器學(xué)習(xí)演算法,可以提高資安產(chǎn)品的防御能力;好的資安防御技術(shù)可以阻止駭客的攻擊;但是,資安公司的防御能力要和攻擊者打成平手,仍是一大挑戰(zhàn)。
