本文回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。
今日的威脅既複雜又猖獗,光靠防範似乎已經不夠。事實上,根據專家指出,威脅已經無可避免。除此之外,再加上網路資安技術上的缺口也使得資安威脅對企業的營運、獲利和商譽帶來龐大的風險。為了因應這樣的情況,企業開始改懸易轍,建置一些主動偵測技術與事件應變策略來強化其防禦。換句話說,企業或許無法完全避免所有的資料外洩或網路攻擊,但卻能夠針對這類可能帶來重大損失的事件做好更周全的準備,進而降低、控制損害並從中復原。
然而,是什麼樣的原因造成這樣的改變?促使企業在網路資安防禦當中加入主動偵測、回應及矯正技術的因素為何?讓我們來回顧威脅情勢發展上一些促使企業開始採取主動事件應變策略以強化其網路資安防禦的重大事件。
1987 年 10 月
Cascade (瀑布) 病毒現身 (德國稱為「Herbstlaub」),其名稱的由來是:當該病毒啟動時,螢幕畫面上的文字會像瀑布一樣往下墜落到畫面底部。Cascade 當初原本打算避開 IBM 電腦不加以感染,但卻因為一個程式錯誤而讓它幾乎擴散至比利時某個辦公室中的所有電腦。Cascade 病毒的出現,也促使了防毒軟體的問世。
1987 年 11 月
Lehigh (理海) 病毒 (或稱為「command.com」病毒) 感染了 DOS 作業系統開機所需的系統檔案。該病毒是以當初發現病毒的美國理海大學 (Lehigh University) 來命名,是第一個會將電腦資料清除的病毒。為了因應這個病毒,該大學的電腦中心還對全校學生和教職員發出了緊急通告。此外,病毒的作者也通知了其他大學有關該病毒可能帶來的影響。
1988 年
Morris 蠕蟲發動阻斷服務 (DoS) 攻擊並大量散布,根據報導,網際網路上約有 10% 的電腦因而當機。這是當時第一個對網際網路骨幹造成重大影響的病毒之一。這起事件也因而讓人意識到網路緊急事件聯合應變的必要性,促使專家們成立了後來的「電腦緊急應變小組」(CERT)。而 Morris 蠕蟲也為隨後數十年企業所遭遇的惡意程式打下重要基礎。
1989 年
AIDS 木馬程式現身 (亦稱為「Aids Info Disk」或「PC Cyborg」木馬程式),這或許是史上第一個勒索病毒。其作者在世界衛生組織 (WHO) 的愛滋病防治大會上散發了 20,000 份含有該木馬程式的軟碟片給與會者。該木馬程式在運作時會計算電腦的開機次數,一旦到達 90 次,就會將 C 磁碟上的目錄隱藏並將檔案名稱加密。資安專家在仔細分析了該木馬程式之後,開發了一個名為 AIDSOUT 的解密工具程式,並且在網路上免費提供。
1990 年
第一個會變形的 Chameleon (變色龍) 病毒現身 (亦稱為「1260」或「V2P1」),其作者是以先前 Vienna 和 Cascade 病毒為基礎而開發出此病毒。Chameleon 的程式碼每次感染時都會產生變化。這讓當時的防毒軟體因而無法有效偵測,因為當時的技術只會根據一些簡單的特徵 (也就是病毒碼) 來偵測病毒。為此,資安專家發明了一些特殊的演算法來偵測並攔截這類會變形的病毒,這些演算法至今仍是防毒產品的重要元素。
Michelangelo (米開朗基羅) 病毒在網路資安領域掀起了一陣恐慌,因為專家們預測它將帶來重大損害。但事情並未如預期發展,不過 Michelangelo 病毒仍是一個轉捩點。這是早期使用定時炸彈的病毒之一,換句話說,它會在地特定的日期和時間觸發惡意行為。這項技巧後來成了惡意程式躲避傳統沙盒模擬分析偵測技術的一項常用手法。在此同時,資安專家也開發出多種方法來解除這些定時炸彈,例如:使用虛擬機器以及分析記錄檔。
1998 年
會覆寫磁碟開機磁區的 CIH 病毒開發成功 (亦稱為「車諾比病毒」(Chernobyl) 或「Spacefiller」),不過該病毒的效應一直到 1999 年 4 月 26 日才出現。CIH 病毒一般認為是經由盜版軟體散布,但也有可能因為人為疏失而隨一些商用軟體出貨。該病毒光在南韓就造成了 25 萬台電腦感染與 2.5 億美元的損失。CIH 病毒的作者後來也出面發表道歉聲明並提供了一個針對該病毒的防毒工具。此外,CERT 協調中心 (CERT/CC) 也發布了一份公告來教導民眾如何復原系統。
1999 年
惡名昭彰的Melissa (梅莉莎) 巨集病毒現身,在全球造成了 8,000 萬美元以上的損失。Melissa 會不斷地將自己寄給一堆無辜的收件人,對郵件伺服器造成重大負荷。一些知名的企業和政府機構都暫時關閉了郵件閘道來減輕網路塞車。事件應變專家建議使用郵件過濾條件來過濾 Melissa 病毒。
2000 年
ILOVEYOU (我愛你) 蠕蟲 (亦稱為「Love Bug」或「Love Letter」) 現身,證明了社交工程技巧的威力,所有受害者皆被一封看似溫馨信件所騙。ILOVEYOU 會隱藏並覆寫檔案,並且將自己寄給受害者的所有 Microsoft Outlook 聯絡人。連鎖反應的結果,就如同海嘯一般襲擊郵件伺服器,讓郵件伺服器難以承受,全球約有 5,500 萬台電腦受到感染,造成 10 億美元以上的損失。ILOVEYOU 所帶來的影響,也促使政府機關開始改善彼此之間的協調,而企業也開始強化自己的資安防禦。
2001 年
該年可說是漏洞攻擊蠕蟲崛起之年,包括:Code Red I、Code Red II、Klez、Nimda、Sadmind 以及 Sircam。他們專門攻擊 Solaris 和 Microsoft Internet Information Services (IIS) 伺服器的漏洞。尤其 Code Red 可說是給了全球企業機構一記響亮的警鐘,造成了 26 億美元的生產力損失與伺服器清除成本。同時,這些蠕蟲也突顯了網路修補與防護對企業機構的重要,尤其那些不安全的網路共用磁碟更是威脅鎖定的目標。
Beast (野獸) 惡意程式現身,這原本是一個遠端存取工具,是率先導入所謂後門程式技巧的惡意程式之一, 例如內建可躲避防火牆並停用防毒軟體的功能。這些躲避技巧可用網路流量檢查和通訊協定分析來加以反制。
隨著越來越多資安漏洞被揭露,後門程式和蠕蟲也因而更加流行。DoS 阻斷服務攻擊大行其道,其中更有一個名為「SQL Slammer」的蠕蟲在短短的 10 分鐘內就影響了 75,000 台電腦。此外 Blaster 蠕蟲也登上媒體版面,造成美國馬利蘭州一些政府機構暫停辦公。SoBig.F 則是當時散布最快的病毒。這些案例也促使系統與網路管理員在建立網路惡意程式應變能力方面更有遠見。
Mydoom 病毒 (亦稱「Shimg」或「Novarg」) 又再次幫大家上了一課,讓人們對網路安全有更深刻的一層體會。該病毒是經由電子郵件和檔案分享應用程式傳染,是有史以來散布最快的病毒。Mydoom 的影響相當深遠:每 49 封電子郵件就有一封夾帶 Mydoom 病毒,因而使得搜尋引擎變慢,造成不只一家公司必須搬移到新的網域。在巔峰時期,Mydoom 大約占據了 20% 至 30% 的全球網際網路流量。資安專家也開發出一些專門用來攔截 Mydoom 的工具給系統管理員。此外,事件應變人員也採取了一些反制措施,藉由網路流量過濾規則和防火牆來攔截 Mydoom 的後門行為。
行動惡意程式開始在 Symbian 裝置上出現。絕大多數都是從前一年發表的 Cabir 概念驗證攻擊衍生而來。而第一個經由多媒體簡訊 (MMS) 散布的手機病毒則是「Commwarrior」。不過,惡意程式的作者一直到 2010 年智慧型手機問世之後才開始有利可圖。
Leap 惡意程式 (亦稱為「Oompa-Loompa」) 現身,成為第一個針對 Mac OS X 作業系統的惡意程式。Leap 雖然沒有太大危害,但卻再次證明沒有任何平台可以倖免於網路威脅。
Storm 蠕蟲出現,集合了蠕蟲、木馬程式與殭屍網路 (Botnet) 的技巧於一身。其巔峰時期約占了所有惡意程式感染案例的 8%,成為 2007 和 2008 年繁衍數量最多的威脅之一。Storm 蠕蟲開啟了各項有關如何防範點對點 (P2P) 殭屍網路的研究。而惡名昭彰的 ZeuS/ZBOT 木馬程式也在這個時期出現,許多企業機構的資料都遭到竊取,受害者遍及眾多產業。
Koobface 蠕蟲現身,包括 Windows、Mac OS X 和 Linux 平台都受到影響,甚至波及社群網站。如同 ZeuS/ZBOT 一樣,Koobface 可說是為網路犯罪帶來了典範轉移,網路犯罪集團隨時都跟隨著科技的發展腳步,尋找其中的安全漏洞。Koobface 也反映出可採取行動的威脅情報對企業和執法機關在遏止網路犯罪時的重要性。
2008 年 11 月
Conficker 蠕蟲 (亦稱為「Downad」) 感染了高達 900 萬台電腦,並衍生出多個變種和一些新的技巧。全球資安專家、執法機關、「網際網路名稱與號碼指配機構」(ICANN) 及網域名稱註冊機構共同遏止了 Conficker 經由演算法每天產生的數千個網域來和其幕後通訊 (C&C) 伺服器通訊。然而,Conficker 仍將繼續成為企業一項永遠的問題。
2010 年
Stuxnet 出現,這是第一個攻擊「監控與資料擷取」(SCADA) 系統的蠕蟲,也激起了有關工業基礎架構安全性的討論。「工業控制系統網路緊急應變小組」(Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 實地前往感染 Stuxnet 的廠房進行了一項評估和鑑識分析。此外,軟體廠商也釋出了多項修補更新來解決 Stuxnet 的資安漏洞。
資料外洩事件更加頻繁,包括 RSA 和 Sony 都傳出資料外洩。而隨著這些失竊資料被歹徒變現之後,網路犯罪活動也日益壯大。除此之外,我們也發現一些懷有政治意圖的攻擊行動。SpyEye 銀行木馬程式在該年上半年就搜刮了320 萬美元的不法獲利。平均每秒可偵測到 3.5 次威脅 (等於一小時 12,600 次)。
針對性攻擊與資料外洩越來越常見。在中東地區活動的 Flame 資料竊取和清除程式現身,手法類似 Stuxnet。Disttrack (亦稱為「Shamoon」) 專門感染石油公司的工作站。此時,影響 Android 裝置的惡意程式數量已高達 350,000 個。至於漏洞攻擊套件雖然從 2006 年就已出現,但直到 Blackhole 2.0 出現才開始真正起飛。勒索病毒成了最熱門的話題,這類惡意程式很顯然承襲了 FAKEAV 假防毒軟體和 Reveton警察木馬程式的勒贖手法。
一連串的垃圾郵件攻擊開始散布 CryptoLocker 勒索病毒,這是第一個會將感染系統的檔案加密以勒索贖金的勒索病毒之一。根據報導,CryptoLocker 的幕後集團獲利數百萬美元。這種顯然相當有利可圖的賺錢模式,也促使了勒索病毒日漸成熟。此外,漏洞攻擊套件作者和勒索病毒作者也開始結盟。CryptoLocker 及類似病毒的出現,突顯出縱深防禦對企業機構的重要性,尤其對系統管理員。
Sony Pictures 發生了一起重大的網路資安事件,造成員工個人身分識別資訊外洩,以及部份的線上基礎架構遭到破壞。銷售櫃台系統 (POS) 勒索病毒也開始蓬勃發展,造成美國 Target 連鎖超市發生資料外洩,損失高達 1,850 萬美元。Sony 與 Target 所發生的事件也引起了企業採取預防與矯正性策略來對網路攻擊事先做好萬全準備的相關探討。
資料外洩更加猖獗,醫療產業受害最深,超過 9000 萬筆的病患資料遭到外洩。一整批的零時差漏洞遭到曝光,歹徒也將這些漏洞轉換成網路間諜行動的武器。同時,網路犯罪地下市場也成了犯罪活動的溫床。物聯網 (IoT) 裝置和智慧科技也淪陷,成了駭客的攻擊目標。到了該年年底,Angler 可說主宰了整個漏洞攻擊套件版圖,對無辜的使用者散發大量威脅。
勒索病毒家族數量在 2016 年大幅攀升,此外也發展出各種型態和獲利模式以及各種不同的功能。此時,變臉詐騙 (BEC) 也在全球造成超過 30 億美元的損失。此外,還有更多的零時差漏洞被發現和揭露。Mirai IoT 殭屍網路造成了許多知名網站停擺,同時也掀起了一股有關 IoT 安全的討論。Yahoo 坦承其 2013 年發生的資料外洩事件,事實上有 30 億個用戶帳號遭到外洩。
2017 年
加密虛擬貨幣挖礦成了家用路由器底下的連網裝置最頻繁的網路活動。電子郵件依舊是惡意程式和其他威脅最普遍的感染途徑,而變臉詐騙全球損失也來到 50 億美元之譜。勒索病毒的成長到達高原期,但 WannaCry、Petya 和 Bad Rabbit 等勒索病毒卻造成了前所未有的大範圍損害。強大的漏洞攻擊手法和駭客工具依然並未消失。行動勒索病毒與銀行木馬程式也依然蓬勃發展。
正如威脅情勢的發展歷史所示,網路資安事件的應變似乎都太過被動,這樣的做法很難發揮效果。尤其,今日的系統已變得如此複雜,而惡意程式也如此猖獗,看來要隨時跟上威脅的腳步幾乎不可能。有鑑於近期、當前及未來新興威脅的規模、範圍和多樣性,企業迫切需要一套主動的事件應變策略。
駭客動機的轉變:從年少輕狂的惡作劇和單純只想成名,到現在發展成熟的網路犯罪與網路間諜,也促使企業機構必須隨時因應不斷成長的威脅而調整,以保障自己的營運、獲利及商譽。
此外,隨著歐盟通用資料保護法的上路,企業機構在面對今日傳統資安防護所無法偵測的威脅時,可能將付出更慘痛的代價。尤其對那些缺乏人力、技術或時間來主動監控網路邊境的企業機構更是如此。所以,採用一套主動事件應變策略來搭配縱深防禦,就能讓企業掌握可採取行動的情報和分析資訊,協助企業搜尋、偵測、分析及回應各種威脅和惡意活動。
原文出處:A Historical Overview of Proactive Incident Response Strategies and What They Mean to Enterprises