新興地下商業模式:專賣企業網路存取權限的 AaaS ,五個資安長 (CISO) 該知道的防禦策略

趨勢科技威脅情報副總裁 Jon Clay 討論趨勢科技有關「存取服務」」(Access as a Service,簡稱 AaaS) 的最新研究內容,說明這種專門販賣企業網路存取權限給其他犯罪集團的新興地下商業模式。

Organized Cybercrime

何謂存取服務?


最近,趨勢科技研究機構 Trend Micro Research 分析了一種新的地下商業模式叫作「存取服務」(Access as a Service,簡稱 AaaS),這是一種專門販售企業網路存取權限的網路犯罪服務,屬於「網路犯罪服務」(Cybercrime as a Service,簡稱 CaaS) 其中的一環,其他類似的服務還有「勒索病毒服務」(Ransomware as a Sservice,簡稱 RaaS)。

AaaS 主要是由一些個人駭客或駭客集團利用各種方法駭入企業網路並蒐集存取權限之後,將存取權限拿出來販售的一種服務。AaaS 的賣家主要有三類:

  1. 投機的駭客:看到市場出現這樣的需求,所以就決定來分一杯羹。
  2. 專業的賣家:他們的全職工作就是蒐集和販賣這類存取權限,他們甚至會宣傳自己的服務,並透過廣大的銷售網路來販售。
  3. 線上商店:這類商店通常只保證能夠進入某台電腦,而非整個企業或網路。

這當中最值得擔心的是專門盜取網路存取權限然後賣給其他駭客使用的集團,因為他們所提供的存取權限通常比較可靠,並且保證買家一定能夠進入系統。不論是 AaaS 的賣家或買家對企業都很麻煩,但後者肯定更為棘手,因為企業會很難發現他們是如何突破企業的防線。

AaaS 受害對象


就像所有的網路攻擊一樣,總是會有某些產業比較受到駭客青睞。Trend Micro Research 在分析了 900 則刊登這類服務的廣告之後發現,其中有 36% 所販賣的是大專院校與中小學校的存取權限。這一點不讓人意外,因為教育產業的資料外洩事件越來越多,而且對駭客來說,學校是個含有大量個人資料的寶庫,這些資訊不僅能拿到地下市場販賣,也可以拿來從事勒索。

Trend Micro Research Data Breaches

網路犯罪趨勢


AaaS 是目前正在崛起的一種網路犯罪趨勢,可說從 CaaS 逐漸特化的一種服務,同時也促進了駭客集團之間的彼此合作。我們看到駭客們正開始分工合作,各自負責整個攻擊程序的不同階段。這意味著,我們將看到駭客更少因為犯錯而被逮到,此外也預料,在一個受感染的網路當中,將出現多個犯罪集團同時存在的情況。如果從事件回應團隊的角度來看,這表示他們必須找出整起攻擊當中負責執行不同階段的不同駭客集團,這將使得攻擊的偵測及攔截變得更難。

五個 AaaS 防禦策略


如同先前提到,由於駭客行為的改變,這類經由其他駭客集團取得存取權限的攻擊將更難防範。所以資安長以及資安團隊很重要的就是要建立一套專注於偵測及防止駭客首次入侵的資安防禦策略。您越早偵測到首次入侵的事件,您就越容易防止攻擊演變到後續階段,例如被駭客植入勒索病毒。以下是您在建立一套有效的資安策略時可以考慮納入的幾項作法:

  1. 密切追蹤已公開的資料外洩事件,以及網路犯罪地下市場上是否有人正在販售貴公司的網路存取權限。若您看到或懷疑有人正在兜售貴公司的網路存取權限,請立即啟動密碼重設步驟來防止外洩的登入憑證遭到利用。
  2. 啟用雙重認證 (2FA) 來防止犯罪集團利用外洩的登入憑證進入您的網路。
  3. 確認事件回應 (IR) 團隊確實了解多重駭客可能同時存在的情境,並且知道該將心力集中在哪些地方。
  4. 實施零信任 (Zero Trust) 資安方法,採用一套具備 XDR  功能的平台來持續驗證及監控使用者,確保唯有應該具備存取權限的人才能存取您的網路。採用一套平台,有助於整合所有相關的使用者活動和資料,並提升可視性。
  5. 採用一些值得信賴的規範,例如:美國國家標準與技術局 (NIST) 以及歐盟網路資安機構 (ENISA) 的規範,請參考此處提供的最新密碼指引。


如需有關 AaaS 以及如何強化防禦策略的更多資訊,請參閱新興存取服務市場研究 一文,或參考我們對於深層網路的研究來了解有關網路犯罪地下市場的更多資訊。

原文出處:Organized Cybercrime Cases: What CISOs Need to Know

訂閱資安趨勢電子報,每日掌握資安趨勢

加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

好友人數