close
專題特寫資訊保安

自殺式襲擊摧毀企業數據 變種惡意程式 2016 年更難防

法國發生自殺式恐怖襲擊,至今仍是夢魘,但其實這種攻擊在網路上一樣存在。有保安廠商發現有惡意程式,一旦就檢測就會啟動自爆程序,摧毀企業數據。此外物聯網威脅更是如影隨形,2016 年防範惡意程式的挑戰將更艱鉅。

 

物聯網威脅首度打入十大排名

資訊保安問題近年愈來愈嚴峻,單在 2015 年就發生多宗規模龐大、針對知名企業的攻擊事件,例如 Sony Entertainment、Ashley Madison 與 Hacking Team 資料外洩事件等。網絡勒索事件也愈來愈頻繁,希臘 3 間銀行、瑞士電郵服務商都曾遭黑客以 DDoS 攻擊勒索 Bitcoin 贖款,資訊保安廠商預期類似的新聞在 2016 年只會愈來愈多。

「資訊保安是一個要跟黑客鬥快的比賽。」Fortinet 香港及澳門網絡安全顧問吳維穎向 Unwire.pro 表示:「之前黑客利用 APT 攻擊入侵商業機構,而保安廠商則用『沙盒』技術來應付。發展到 2015 年黑客已懂得方法騙過沙盒,保安廠商自然亦需要新技術去應對。」

吳維穎引述 FortiGuard Labs 報告,指過去一年物聯網及雲計算均是安全的重災區:「過往物聯網安全威脅只是理論,沒太多真正案例,但在今年卻真正成為威脅,也首度打入我們的十大安全威脅排名,反映物聯網發展成熟的同時,黑客攻擊的時機也已成熟。」

FortiGuard Labs安全防護中心是 Fortinet 屬下資訊保安實驗室,其 2016 年網絡安全威脅預測就列出五大網絡安全新威脅,包括針對物聯網設備的 Machine to Machine(M2M)攻擊、針對「無頭」設備的感染、針對雲端和虛擬機器(VM)的入侵、會「自爆」隱匿攻擊證據的惡意程式,還有懂得繞過沙盒檢測的惡意軟件等。

fortinet001

 

威脅一:M2M 攻擊增加、設備間互相感染

前面提到,物聯網安全威脅成為近年熱議的保安問題,尤其在 2015 年開始已見到有實際案例出現,吳維穎表示 IoT 的安全威脅亦首次打入十大安全威脅排名榜:「去年還比較是理論,但在 2015 年已有一些概念驗證的攻擊出現,雖然現時未有實際威脅,但可預期在 2016 年將成為現實。」

由於企業大多有資訊保安系統,黑客入侵並不容易,但隨著愈來愈多物聯網裝置出現在辦公室,導致保安漏洞難以掌握,預計黑客將透過攻擊漏洞物聯網裝置成為入侵的中轉站,繼而向辦公室內其他裝置入侵。黑客通過利用這些設備的漏洞,可以在企業網絡和硬件等設備中找到更隱蔽的落腳點,從而擴大對該漏洞的攻擊。

隨著智能工廠、智能辦公室日益普及,機器對機器(Machine to Machine, M2M)的通訊將更頻繁。由於這些數據全部都自動化執行,人類根本難以發現一台機器已成為入侵的跳板,透過 Wi-Fi 和內聯網散佈惡意軟件。Unwire.pro 甚至報導過,黑客可用無線電和溫度計來入侵沒有連網的「氣隔電腦」,未來企業資訊保安將更艱困。

cap001

 

威脅二:感染「無頭」設備帶來更大殺傷力

除了智能家居和智能辦公室設備,物聯網裝置還包括各種穿戴式裝置。穿戴式裝置往往只有少量代碼,本身沒有自己的作業系統和運算能力,而需要跟智能手機等裝置配合才能運作。這類「無頭」設備(Headless Device)以前很少聽到會有蠕蟲和病毒攻擊,但 FortiGuard Labs 預測在 2016 年將變得普遍。

「在 2015 年已發現有黑客嘗試向智能腕帶 Fitbit 入侵,這些『無頭』設備很少有人提防,但又能隨意戴著進入辦公場所,無形中成為企業防範黑客的漏洞所在。」吳維穎解釋在企業防毒產品流行下,蠕蟲和病毒已很難像以前般大規模感染電腦設備,但在上億計的智能硬件設備卻可以生存及感染,病毒和蠕蟲在物聯網設備間傳遞已是近在咫尺。

由於物聯網設備並非通用電腦,自然也不可能有防毒軟件,而且大多數廠商都沒有充夠的技術和資源,為已出廠的物聯網設備修補漏洞,導致它們成為可能永遠沒法封上的漏洞。別說普通用戶無法判斷 Fitbit 是否遭到入侵,就連 CSIO 也難以肯定,這勢必帶來更大的保安挑戰。

capt002

 

威脅三:攻擊虛擬機器繼而入侵 IaaS 雲端架構

現在愈來愈多機構採用雲端技術來部署公司的系統,以往利用公眾雲平台,原則上每一個使用者之間都是間隔開來的,即使一家公司受到感染,理論上也不會影響公眾雲平台上其他的系統。但現在卻發現有黑客可在感染虛擬機器後,可突破虛擬化環境再往上感染宿主機的操作系統,直接攻擊真實的基礎設施,令攻擊維度擴大。

「2015 年發現的 Venom 漏洞,證明了攻擊者和惡意軟件能夠從管理程序(Hypervisor)中逃之夭夭,並且在虛擬化環境中訪問宿主機操作系統。機構愈益依賴虛擬化、私有雲和混合雲技術,將給網絡攻擊帶來更便利條件。由於大量流動應用程式與雲系統連接,也為攻擊者開啟另一個攻擊維度,讓企業網絡、公有雲和私有雲都遭受安全威脅。」他說。

但比起物聯網威脅,也許這較能提防。吳維穎表示雲端服務使用者現在有不少坊間的終端保安方案,只要做好自己,即使旁邊其他使用者受到攻擊也能有一定的保障。而在雲端基礎架構服務商層次,他建議採用嶄新的軟件定義數據中心(SDDC)技術,進一步隔離不同的小網段,能避免惡意程式在數據中心內部散播。

capt003

 

威脅四:惡意程式「自爆」隱匿攻擊證據

近年恐怖襲擊成為不少人的夢魘,但「自殺式襲擊」原來也在網絡上存在。現代惡意程式往往是為了盜取資料,而非破壞,但正如間諜落網會被拷問以找出源頭,惡意程式若被發現,也會被「逆向工程」檢查通訊紀錄和入侵痕跡,從而找出黑客源頭。

正如恐怖份子會在被發現後自殺,甚至自爆來保密,新型的惡意程式現在也有類似的功能。吳維穎表示 2015 年發現的 Rombertik 病毒就能繞過常規的防毒檢測,甚至還具備「反沙盒」檢測的能力,而且一旦被檢測到就會啟動「自爆」機制來毀掉宿主機,從而阻止追查。

FortiGuard Labs指攻擊者的閃躲技巧,讓企業在檢測和攻擊後取證調查方面面臨沉重的壓力。「未來的惡意軟件可能不再被動的逃避檢測,而是主動的向檢測反擊。企業在遭受了『自爆 』攻擊後,在數據丟失的情況下調查取證變得十分困難。」他說。

capt004

 

威脅五:惡意軟件「雙臉人」降低目標戒心

如果在惡意軟件入侵後才檢測得到,就有機會成為「自殺式襲擊」的受害者,因此如何盡早在入侵前就發現,便是當務之急。現在企業防範 APT 攻擊主要靠「沙盒」技術,即透過讓不少檔案在一個受監控的環境下運行,再檢查有沒有做危險動作,從而分辨檔案是否安全,能否進入企業內部。

但原來不只入侵的間諜和恐怖份子會「扮好人」,為了繞過沙盒,惡意程式在知道自己被檢測時行為十分規矩,待成功入侵後才開始下載、訪問或安裝惡意的程式。吳維穎表示新一代「沙盒」技術亦不得不加強檢測,以維持沙盒評分系統的安全情報機制的準確度,但就難免因此犧牲效能。

「傳統的防毒引擎為了不犧牲效能,只會掃描檔案第一個執行工序(Process),無問題就放行。而惡意軟件就針對這一點,先執行一些正常的工作,騙過沙盒、進入系統後才會做危險動作,而沙盒只需要監視每一個 Process、記錄每一個動作的 Log,就能揪出它們。」他指目前沙盒技術掃描一個檔案約需三分鐘,但未來將難免需時更多,但就未有具體數據做比較。

capt005

 

總結:災難復原應變減少「自殺式襲擊」損失

網絡安全威脅形勢在不斷演變進化,在各種新技術出現讓企業和消費者享受更好的數碼生活體驗時,背後也是各種新型的保安威脅出現。由於雲計算和物聯網均是業界公認的科技關鍵,針對這兩種技術和生態的威脅只會愈來愈多。

今年中 Unwire.pro 曾專訪了美國中央情報局(CIA)的前任首席科技總監 Bob Flores,對方就提到物聯網安全威脅,甚至有機會成為國家安全威脅。由於物聯網安全涉及不同層面,由裝置本身、網路設計,以至個人使用習慣都有關,這亦令保安問題變得更棘手。

吳維穎也承認,如果是企業市場還算是有一些保安方案可以帶來保障,但如果去到消費者市場就「束手無策」。畢竟企業環境能夠強制受控,但在一般消費者領域卻做不到。

其實多家資訊保安廠商和物聯網設備廠商,都呼籲應該設立一個共通的物聯網安全組織,以推動行業在物聯網安全的標準化,為消費者提供嚴密的網絡層(Network Layer)和應用層(Application Layer)加密。看來要做好物聯網領域的保安,這段路仍很漫長。

至於企業防範黑客 APT 攻擊,除了可透過加強沙盒偵測技術來提防外,企業也不得不多做一些災難復原的應變準備。除了為數據加密,即使數據被盜取也只會是不能讀取的加密數據外,要應付「自殺式襲擊」則需要做好災難復原和備份,即使查不到入侵來源,最低限度也不會因而導致業務數據全毁。

n-350x500

 

 

作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。

 

 

 

 

Tags : cloudFortinethackerIaaSiotM2M流動置頂
Catabell Lee

The author Catabell Lee

Leave a Response