網路安全需要收集並分析資料,才能夠精確可靠且快速地回應威脅。然而駭客們會利用多種攻擊媒介及各式各樣的橫向移動策略,因此單一的遙測(Telemetry)來源並不足以完全地掌握攻擊活動。必須從多個來源(端點、電子郵件、網路路由器、閘道、代理服務和認證系統)快速可靠地收集並關聯遙測資訊,以獲得準確而全面性的了解。
事實證明,IDC所做的EDR和XDR問卷調查(2020年12月)有超過三分之二的受訪者將9種不同的遙測來源在偵測威脅上評為「有用」或「非常有用」。但更多的遙測來源則很有可能讓本已難以控制的假警報數量變得更多。根據同一份調查顯示,「太多警報是誤報」是不去調查所有警報最常見的原因。
繼續閱讀不論是正當或非正當的領域,工作自動化,也就是在無人監督的情況下透過程式設計的方式來執行工作,是電腦的最基本應用之一。所以,我們很好奇像 Codex 這樣的工具是否足以在無人監督的情況下可靠地產生出我們想要的程式碼。
作者:趨勢科技前瞻威脅研究團隊
2020 年 6 月,非營利人工智慧研究機構 OpenAI 推出了第三版的 Generative Pre-trained Transformer (GPT-3) (生成式預先訓練轉換器) 自然語言轉換器,在科技界掀起了一番波瀾,因為它具備神奇的能力,可產生足以讓人誤認為是真人撰寫的文字內容。不過,GPT-3 也曾針對電腦程式碼來做訓練,因此最近 OpenAI 釋出了一套專為協助程式設計師 (或者可能取代程式設計師) 的特殊引擎版本叫作「 Codex」。.
我們藉由一系列的部落格文章,從多個面向探討 Codex 的功能在資安上可能影響一般開發人員和駭客的特點,本文是該系列文章的第三篇。(前兩篇在這裡:第一篇、 第二篇)
不論是正當或非正當的領域,工作自動化,也就是在無人監督的情況下透過程式設計的方式來執行工作,是電腦的最基本應用之一。所以,我們很好奇像 Codex 這樣的工具是否足以在無人監督的情況下可靠地產生出我們想要的程式碼。
答案是,我們無法得到兩次相同的結果:我們很快就發現 Codex 是一個「不具備」確定性的系統,同時也不具備可預期性。這意味著,結果不一定能夠重複。GPT-3 (以及 Codex) 背後的大型神經網路基本上是個黑盒子,其內部的運作方式要靠餵入大量的訓練文字來加以調校,讓它自己「學會」文字和符號之間的統計關係,希望它最終能夠忠實地模仿使用者的自然語言。而這會導致使用者在與 GPT-3 (或 Codex) 互動時有一些事情必須牢記在心,例如:
繼續閱讀本文是探討以 GPT-3 引擎為基礎的 Codex 程式產生器相關資安問題一系列文章的第一篇。
2020 年 6 月,非營利人工智慧研究機構 OpenAI 推出了第三版的 Generative Pre-trained Transformer (GPT-3) (生成式預先訓練轉換器) 自然語言轉換器,在科技界掀起了一番波瀾,因為它具備神奇的能力,可產生足以讓人誤認為是真人撰寫的文字內容。不過,GPT-3 也曾針對電腦程式碼來做訓練,因此最近 OpenAI 釋出了一套專為協助程式設計師 (或者可能取代程式設計師) 的特殊引擎版本叫作「 Codex」。身為一套生成式語言模型,這套新的系統可讓您輸入一句自然語言來表達您想要做的動作,然後系統就會使用您選定的程式語言幫您產生一段程式碼來執行您想要的動作。
早在 Codex 出現之前,大家就已經知道 GPT-3 可以做到這點,而且之前已經有許多早期採用者做出了各種概念驗證,包括將一段描述網頁排版動作的英文敘述轉成正確的 HTML 碼,或是根據使用者的描述從選取的資料集產生對應的圖表,除此之外,還有許許多多其他早期採用者不費吹灰之力就製作出來的各種知名範例。
繼續閱讀趨勢科技從八個被入侵網站發現超過300筆不重複釣魚網址和70筆電子郵件地址,包括了40位公司執行長、高階主管、擁有者和創辦人及其他企業員工的郵件地址。
地下市場已經出現販售竊來的Office 365帳號密碼及公司職位等資訊,藉以提供歹徒進行商務電子郵件入侵 (Business Email Compromise,BEC)等攻擊。
這些公司高層的帳密價格從250美元到500美元不等。
趨勢科技自2020年以來一直在追蹤一波以公司高層為目標的網路釣魚活動,重複利用外洩帳密和被入侵網址來鎖定更多目標。
自2020年5月起,趨勢科技一直在追蹤一波針對公司高層的網路釣魚活動。攻擊者重複利用被入侵主機來針對日本、美國、英國、加拿大、澳洲和歐洲等多個國家/地區的製造業、房地產、金融業、政府和科技業進行釣魚攻擊。截至本文撰寫時,我們從八個被入侵網站發現超過300筆不重複釣魚網址和70筆電子郵件地址,包括了40位公司執行長、高階主管、擁有者和創辦人及其他企業員工的郵件地址。我們現在正與有關當局合作來進行進一步的調查。
繼續閱讀網路資安人士對於「後門」大多不能認同,當政府或情報單位暗指某款電話、加密工具或產品當中暗藏後門時,不論哪一個陣營都會認為這不應該。
要找出產品的漏洞 (或弱點) 基本上很難,但如果已經知道漏洞在哪裡,那要想出攻擊手法就比較容易。然而蓄意安插的後門,不論是廠商或滲透者所留下的,或許才是最難防的惡意程式。
首先,後門集合了漏洞與漏洞攻擊手法於一身,駭客完全不需再另外安裝惡意程式。而且暗藏後門的系統還是經過合法簽章的正式軟體,能夠通過各種檢查,例如:雜湊碼、檔案大小、程式驗證等等。而且比漏洞更難搞的是,後門還可能內建一些駭客刻意設計的安全與加密機制,增加了第三方威脅研究人員偵測的難度。不僅如此,只要是使用該產品的客戶,他們全都存在著這個可利用的後門,這根本就是駭客的所有願望一次滿足。
這邊稍微釐清一下,此處所指的後門,是正常產品發表時已經存在的後門,而非產品發表後被暗中植入的後門。
雖然程式的後門基本上很難偵測,但它們到底有沒有辦法被發現?答案是有,只不過沒辦法在它蟄伏 (也就是沒有採取任何行動) 的時後發現。
但是一旦有人在利用後門,即使是最隱匿的後門,也有可能被偵測 (儘管也不容易)。傳統的漏洞攻擊特徵比對偵測方法此時並無太大用處,除非後門散布的是先前內部已知的惡意程式,但駭客若這麼做,手法就太粗糙了。那些針對漏洞特徵而製作的入侵防護 (IPS) 規則,無法在早期偵測後門,因為,雖然入侵防護或許能在駭客開始使用後門時,發現到一些行為的變化,但還是要有明確的入侵指標 (IOC) 才比較容易偵測後門。
有了 IOC 之後,就能執行回溯性掃描,例如預先查看一下攻擊的入侵範圍。
一個駭人的事實是,大家都以為許多基礎架構軟體絕對安全無虞,或不會有問題,也正因如此,許多第一線防衛機制都會自動排除或忽略一些可能含有後門的系統而不加以檢查。
繼續閱讀