工業物聯網(IIoT)是營運技術(OT)與資訊技術(IT)整合的開始。這些技術的整合始於網路連結,但也需要操作程序、技術及訓練方面的增強。
IT 和 OT 從網路方面就使用著不同的協定。在 O T世界中,廠商在過去50幾年來制定了許多專有協定:MODBUS 的歷史可以追溯到1969年。光是ABB就有超過20種的協定。IIoT廠商提供閘道,好在資料轉移到IT雲進行整合和處理前先加以簡化及轉換。這樣的資料量可能很大,因此IIoT閘道透過壓縮、整合和例外處理報告來最小化網路流量。閘道是前端的處理器。
IT和OT環境的作業流程不同。OT網路的指導原則有兩個:安全性和服務可靠性。但IT資訊安全的原則是資料可用性、資料完整性和資料機密性。這些原則彼此之間並無交集。從IT的角度來看,工業流程並不是“資訊”,因此不屬於資訊安全範圍。
IT和OT流程隨著各自發展而可以整合。DevOps打破了開發和營運間的藩籬,能夠更快速地部署新功能而不會影響到軟體的質量控制。圖1顯示了整合的DevOps流程:
圖1:整合的 DevOps 流程
BEC詐騙有別於一般電子郵件所散播的勒索病毒和其他須仰賴惡意程式的攻擊,歹徒在詐騙過程完全不需使用惡意程式, 這些員工沒看穿的騙局,造成的損失可能比病毒還大!
前陣子美國洛杉磯的一位男子將非法取得的律師電子郵件帳號提供給其共犯使用,歹徒假冒該律師發送電子郵件給房地產交易的買方,詐騙超過千萬台幣。一封信,騙走一棟房子,一點都不誇張。唯一的防範之道看似受害者的當下的判斷, 還好趨勢科技隨時都在開發新的機器學習(ML) 演算法來檢驗大量的資料並預測一些未知的檔案為惡性或良性,以具備人工智慧 (AI) 的資安技術防範使用者遭到電子郵件攻擊。
電子郵件帳號遭駭是今日連網世界當中經常發生的問題。網路犯罪集團駭入使用者電子郵件帳號的目的,是為了滲透企業 IT 環境,進而從事各種攻擊,包括各種詐騙、資訊竊盜、身分冒用等等。使用者若無有效的安全措施來防範電子郵件帳號遭到駭入,很可能將蒙受嚴重的損失。
電子郵件遭駭是各產業普遍的現象
電子郵件遭駭在全球各產業都相當普遍。專門從事政治相關攻擊的網路間諜集團 Fancy Bear 據報曾在今年稍早的美國參議員重新選舉期間使用登入憑證網路釣魚攻擊。Fancy Bear 集團從 2015 年起便經常登上新聞版面,目標鎖定美國、烏克蘭、法國、德國、蒙特內哥羅和土耳其等國的政治機關。
這幾年來,醫療產業已成為網路犯罪集團的熱門目標,包括波特蘭、德州、田納西、紐澤西以及其他地區都受到影響。這些醫療機構都因電子郵件帳號遭歹徒駭入並用來詐騙,進而導致資料外洩。
這類攻擊也蔓延到教育產業。今年 5 月,美國紐約州立大學水牛城分校 (University at Buffalo,簡稱 UB) 發出一份聲明表示遭到駭客攻擊,有不明數量的學生、行政人員、教授及校友的電子郵件帳號遭到駭入。在亞洲,新加坡國立大學 (National University of Singapore,簡稱 NUS) 在今年 7 月也警告全校教職員和學生小心來自某些已遭駭 NUS 帳號的網路釣魚攻擊。這些電子郵件當中含有惡意連結,指向會誘騙收件人提供帳號登入憑證的網站。 繼續閱讀
微軟最近報告說他們的進階威脅防護工具偵測並封鎖了兩個重度混淆過的惡意腳本。這些威脅顯然地使用了Sharpshooter技術(曾紀錄並發表於一篇英國資安公司2017年的部落格文章)。
微軟的報告詳細說明了這難以被捕捉的病毒行為 – 它沒有觸動防毒掃描,使用合法程序來執行腳本載入,在硬碟上也沒有留下任何痕跡。因為這些特性,他們將這些腳本歸類為無檔案威脅。
通常無檔案病毒都能夠躲避傳統偵測技術,因為它不會在受害者系統上產生惡意檔案。相對地,它會將惡意程式碼注入執行中的應用程式記憶體或利用系統或設備上的合法工具。
這些被偵測到的無檔案病毒是用兩個無檔案階段完成攻擊,包括用一個難以被偵測的.NET執行檔進行DNS查詢(之前就發生過)下載資料,接著用來初始化和解碼惡意軟體核心。這核心也是無檔案威脅,因為它在記憶體內執行而無需寫入硬碟。
他們在報告作出此惡意軟體可能只是測試而非真正攻擊的結論。
惡意軟體偵測技術在不斷地跟上威脅成長,迫使惡意份子尋找躲避技術和進入點。我們在年中的資安綜合報告詳細介紹了讓檔案型偵測技術頭疼的惡意軟體在大量成長。出現了各種不同類型 – 小型惡意軟體,巨集病毒,當然還有無檔案病毒。
無檔案病毒在這一年多以來都是資安領域的重大威脅。在2017年6月,我們看到了自毀型的SOREBRECT無檔案勒索病毒;之後我也報導了木馬病毒JS_POWMET,這是隻完全無檔案的惡意軟體。我們也注意到使用到這類型惡意軟體的資安事件在增加。
從年初到2018年6月,我們可以看到趨勢科技產品所封鎖的相關事件成長了56%。
最近2018年7月的報導顯示出病毒作者持續地在創新無檔案技術。有許多關於PowerGhost無檔案虛擬貨幣挖礦病毒正在瞄準企業系統的報告。惡意軟體利用合法工具PowerShell及EternalBlue漏洞在各個組織的設備和伺服器間散播而不被偵測。
大多數這類威脅都使用了多組件,留下了檔案以外的線索 – 來自散播機制的電子郵件或連結,在伺服器上進行惡意行為的證據,或出現在網路/系統日誌內的行為線索。根據微軟的說法,一旦Sharpshooter技術公開就會被濫用並用於攻擊。為了偵測無檔案威脅,他們使用了多層次做法,包括反惡意程式碼掃描介面(AMSI)、行為監控和開機磁區保護技術。
這代表了企業需要跨世代的安全解決方案並且採用能夠橫跨整個網路的多層次防禦技術整合來應對無檔案威脅。趨勢科技Smart Protection Suites具備了多種功能(如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制以及漏洞防護),可以最大限度地降低此威脅影響。趨勢科技的Endpoint Sensor也可以有效地監控事件,因為此產品可以幫助快速檢查觸發惡意活動的程序或事件。
儘管社群媒體和即時通變得越來越普及,但電子郵件仍是企業重要的溝通工具。不幸的是,電子郵件的廣泛使用也讓它成為網路犯罪的理想平台。在本篇文章中將會介紹四種電子郵件威脅垃圾郵件、網路釣魚(Phishing)、詐騙郵件和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)。
儘管有許多方法可以過濾掉這些不想要的電子郵件,但垃圾郵件仍舊讓企業吃了不少苦頭。雖然一般都只將將垃圾郵件視為擾人的事情,但真正危險的是透過垃圾郵件散播的惡意軟體。在2016年,有71%的勒索病毒Ransomware (勒索軟體/綁架病毒)透過垃圾郵件傳播,讓電子郵件成為最常見的攻擊媒介。與網路釣魚郵件一樣,垃圾郵件也可以偽裝成像從銀行或網路商家等合法來源寄出,增加無辜使用者下載可疑檔案的機會。Cerber、Petya和Locky等勒索病毒攻擊事件也顯示出惡意垃圾郵件攻擊的規模可以發展得有多大。
快速提示:網路管理員應確保正確地設定垃圾郵件過濾器,包括政策管理和威脅偵測等級設定。此外,全面性的電子郵件安全閘道需要具備網頁信譽評比追踪、文件漏洞攻擊偵測和客製化威脅情報等功能,能夠在針對性攻擊到達使用者之前先加以封鎖。
網路釣魚是種利用操縱心理手法來誘使收件者洩露敏感資訊的電子郵件威脅,駭客再將這些敏感資料拿去販賣或用在其他惡意用途。網路釣魚攻擊通常會使用以假亂真的寄件者加上社交工程(social engineering )過的郵件內容,讓缺乏這類詐騙意識的一般使用者很難加以分辨。網路釣魚郵件還可能夾帶了惡意軟體附件檔、詐騙網站連結或是兩者都有。
魚叉式釣魚(spear phishing)是一種更加針對性的網路釣魚攻擊,它會針對特定個人或組織進行高度客製化的攻擊。在此類攻擊中,駭客通常會對目標受害者進行廣泛的研究,以求製作的電子郵件看起來更像真的。雖然一般使用者常常成為魚叉式釣魚攻擊的目標,但大型企業也會成為駭客的目標,如2016年的「Pawn Storm行動」。
快速提示:網路犯罪分子會利用各種社交工程(social engineering)來迫使目標受害者下載檔案或給出敏感資訊,因此教育員工如何防範網路釣魚攻擊非常重要。如果企業的安全軟體整合了網路釣魚防護功能,則應該啟用並正確地設定。
電子郵件目前依然是企業所面對的最大威脅途徑。光 2018 上半年,趨勢科技就攔截了 204 億次威脅,其中有將近 83% 都來自電子郵件。然而,還不只這樣:企業電子郵件帳號本身也是駭客攻擊的重要目標。隨著 Office 365 更加普及,其登入頁面也逐漸成為企業網路釣魚(Phishing)防禦的前線。根據 Osterman Research 的研究,電子郵件帳號被盜目前已占企業所遭攻擊的五分之二強 (44%)。
為此,趨勢科技已開發出一項新的防護技術,這項創新技術利用電腦視覺與人工智慧來即時攔截威脅。
飽受威脅的 Office 365 電子郵件
為何電子郵件帳號在今日這麼受到歹徒青睞?這是因為電子郵件目前仍是員工網路身分的核心。只要掌握了電子郵件帳號登入憑證,駭客光從受害者的收件匣就能搜刮到不少極敏感的資訊。此外,還能將受害者的帳號當成跳板,藉此進入企業的其他系統。例如,歹徒可能假冒受害者來發送網路釣魚郵件給其他部門同事。此外,假使受害員工的密碼使用習慣不良,歹徒掌握了電子郵件帳號密碼之後,很可能也自然而然能夠進入受害者的其他企業帳號。 繼續閱讀