1,000 至 3,000 億美元:這就是金融機構遭到網路攻擊可能帶來的鉅額損失。儘管金額相當嚇人,但卻一點也不令人意外。因為過去三年之間,就有多家銀行因為 SWIFT (環球銀行金融電信協會) 基礎架構遭駭客入侵而損失共 8,700 萬美元。然而這只是冰山一角:某網路犯罪集團在其首腦於 2018 年被捕之前,已從 40 個國家 100 多家金融機構累積盜取了 12 億美元。
網路駭客不但有能力駭入金融機構的營業系統,更有能力駭入其底層基礎架構。這樣的情況近兩年來屢見不鮮,而且攻擊越來越難纏、精密、且影響深遠。歹徒專門尋找唾手可得的目標,因為先前爆發的一些知名攻擊事件已使得消費者的意識提升,對資料外洩更加敏感,亦不斷提升安全來保護自己的敏感資料。
趨勢科技對網路犯罪地下市場的長期觀察,讓我們能清楚掌握多年來駭客攻擊的手法和技巧如何演進,他們專門利用哪些資安盲點,對真實世界帶來什麼衝擊,以及使用者和企業機構如何加以防範。
一般建築,不論商業大樓或私人住宅,通常都設有保全系統來保障重要資產的安全。從簡單的門禁管理到全面的監控攝影與警報系統,都算是保全系統。而且隨著這類系統日益複雜,大樓管理員也開始需要更方便的管理方式。
為了能夠更快、更容易掌控,保全系統開始慢慢連上網路。一些智慧型大樓,更是採用中央監控管理系統。值勤的人員直接從中控室就能過濾消防警報、查看是否有動作感應器被觸動,或者查看每一樓的監視畫面。通道入口的人員進出權限也可以從遠端直接更改。換句話說,實體保全正在逐漸數位化。
不僅如此,保全系統的裝置也逐漸變得複雜,門禁部分可能用到證件讀卡機、外出開關 (REX)、門管控制器、管理軟體等等整套系統。監視部分則包括了攝影機、數位錄影機、檢視軟體等等。而且大樓通常還會安裝各種警報裝置,例如:防闖感應器、消防警報器、滅火系統、動作感應器等等。 繼續閱讀
如果我說針對性攻擊對任何一家公司來說都只是時間遲早的問題,絕不誇張。在2014年,我們看到許多受害者在想辦法解決看不見的敵人。最近一個非常著名的例子就是Sony被攻擊造成該公司大量的問題加上大量資料被洩漏。身為威脅防禦專家,我們努力讓這無形的威脅變得可見:你應該從2014年的網路攻擊中學到最重要的事情是什麼?我們可以將什麼經驗帶到2015年?
保護你在雲端的資料
雲端運算安全的責任在2014年是再清楚不過的。雲端運算有著強大的擴展能力,讓越來越多的小型、中型以及大型企業都能同樣地加以採用。雖然使用者可以期望「共同責任」模型提供一定程度的安全性,像是雲端服務供應商運行雲端服務和基礎設施(包括實體的硬體和設施)的作法。但使用者不要忘了,雲端資料存取可能會因為自己那一端而遭受攻擊淪陷。
比方說,在三月時竟然發現了一個普遍的「開發者壞習慣」,有成千上萬的密鑰及私人帳號在GitHub這程式碼分享網站上發現。這就跟一般消費者將使用者名稱和密碼放到公共論壇上一樣。從某些方面來看,這甚至更加嚴重,因為金鑰外洩代表著數千份的秘密公司文件、應用程式軟體能夠被惡意份子所存取。而且因為入侵者基本上是以開發者身分登入,他可以刪除整個環境或將其作為人質勒贖。
在一個更加致命的例子裡,Code Spaces因為攻擊者取得權限進入其主控台並開始亂刪客戶資料庫後不得不在2014年關閉。對於一個本質強烈依賴於軟體服務的企業來說,「偏執於安全」應該是必要的一環。雲端服務有雙重或多重因子身份認證選項、完全私密模式或基於身份/角色管理,這些都可以大大地減少入侵攻擊,或讓入侵變得非常困難。
IT管理者必須現在就在其雲端環境檢視和實行各種雲端安全選項。
Code Spaces事件也對那些做雲端生意的公司上了同樣重要的一課:定期備份雲端資料,因為你永遠不知道什麼會發生。3-2-1法則成為最佳實作是有很好的理由的,只有當資料陷入危險或永遠消失的時候才可以看到它真正的價值。
保護你的關鍵系統
任何有連接自己之外的設備都有可能被遠端入侵。問問眾多PoS/零售系統攻擊下的商家吧。一件接著一件,我們在2014年看到了大批的入侵外洩事件。零售業和餐飲業,那些眾多分店都在使用端點銷售系統的店家被入侵,外洩出的信用卡資料最終會在網路犯罪地下論壇上兜售。
有些IT主管認為自己正在跟網路犯罪份子打一場艱難的戰爭。最近一份針對英國IT專家的調查顯示,許多受訪者對於自己在資料量不斷增加時對抗攻擊缺乏信心,需要擁有額外的監控能力。
這樣子的想法並不只出現在英國。世界各地的私人和公家單位都一直在努力應付網路活動劇增的狀況,其中一些和複雜性攻擊有關。最近的假期季節出現幾起值得注意的攻擊活動,像是Target零售商的資料外洩,行動應用程式Snapchat數百萬使用者名稱和電話號碼被駭,以及針對Skype的攻擊。
對於防備網路攻擊的疑慮甚至已經悄悄地進入國家安全討論。警惕著對關鍵基礎設施的威脅,英國和日本已經採取行動來解決IT系統弱點。部分美國國防部官員甚至將網路戰視為最危險的國家安全。
此一不斷高漲的IT風險意識不需要變成了恐慌,但是組織必須建立新的安全策略,不只是來自IT管理者,還要包括其他部門人員的加入,因為網路攻擊可能會中斷整間企業運作。從技術角度來看,整合網路監控解決方案和資料中心可能是直線化IT基礎設施來面對新威脅環境的關鍵一步。
RedSeal調查顯示英國對於防備能力的廣泛擔憂
RedSeal對350位英國IT專家的調查顯示他們對網路安全的疑慮。不到一半的受訪者認為自己可以如實地告訴公司高層,公司的運作可以在面對攻擊時保持安全,超過36%的人表示自己不能這樣說。
不過對這些主管來說,真正要面對的現實問題是採購流程和人員方面,而不是網路罪犯能力的突然增加。有近三分之一受訪者證實,他們忽略嚴重的漏洞是因為缺乏時間或合適的安全解決方案,有28 %的人希望可以有更好的工具來處理網路資料過多的問題。
「網路犯罪社群知道企業已經無法處理過多的資料,而且沒有足夠的資源或工具來保護他們寶貴的資產,所以他們可以利用這些弱點,」RedSeal執行長 – Parveen Jain說道。「我們建議利用自動化解決方案,讓你可以利用可執行的情報來全神貫注在重要而脆弱的資料上。這樣一來,IT部門就能夠對全盤網路安全架構有可見性,使他們能夠捍衛自己的系統,對抗複雜性網路攻擊。」
溝通是另一常見的絆腳石,有60%的人反應說,在討論組織安全時,高層和IT部門的瞭解不同。同樣地,多數受訪者對於利用關鍵績效指標來展示進度有困難。
在攻擊偵測和回應前線要做的事
RedSeal對於企業要使用自動化解決方案的建議是第一步,特別是鑑於IT部門有監測和回應網路活動的問題。有百分之四十五的受訪者斷言,他們甚至不知道自己是否被駭客攻擊過,因為他們的系統內充斥著過多的資料,以致於不可能精確定位攻擊。
面對威脅真正問題並不完全是技術方面,有許多是跟組織如何去架構回應網路攻擊。說到財富雜誌,作者Peter Singer認為,公司的高階主管應該要更多地了解IT風險,尤其是因為70%的企業高階主管必須為公司做出關於網路安全的決定。 繼續閱讀
網路犯罪和「網路戰爭」的分別是什麼?
攻擊內的不同元素可以幫祝我們了解這問題:攻擊目標,威脅背後的攻擊者還有使用的工具。不過我認為最重要的因素,也是帶動其他因素的東西,同時也是我前面所提問題的答案:意圖。
我相信意圖的不同是很重要的,因為它定義了威脅本身。有許多報告指出很多不同組織被目標攻擊成功,數量已經多到混淆了我們到底是在處理什麼樣的威脅。雖然知道意圖可能無法幫助我們阻止攻擊,但可以幫助我們評估自己是否是潛在的目標。
網路戰爭或網路犯罪?
比方說,當A國的攻擊者對B國的幾家公司進行目標攻擊,它算是網路戰爭還是網路犯罪呢?答案再一次地,要看他的意圖。
網路戰爭,正如同趨勢科技 CTO Raimund Genes在他的二〇一三年預測裡提到,指的是有政治動機的攻擊,可能會破壞資料,甚至會導致特定國家基礎設施的實體損害。因此在我上面的例子裡,如果目標攻擊是因為政治意圖而去破壞這些公司的資料或他們的基礎設施,那它可能就會被認為是網路戰爭。
但如果這攻擊是因為金錢意圖而去這些公司竊取資料,那它就應該被認為是網路犯罪的一種。我們過去所看過的大多數網路犯罪目的都是想要影響盡可能多的個人用戶,但網路犯罪分子發現公司是一個更大更好的目標。