網絡攻擊服務產業化 企業保安前景嚴峻

這兩年勒索軟件盛行,有報告指只有不到 10% 的機構能檢測到勒索軟件的相關活動;另一方面有 80% 機構反映其系統存在高或嚴重級別的漏洞,然而大部分漏洞早於過去五年已公佈。 黑客利用作業系統或軟件的漏洞入侵,傳統防毒軟件不易發現。而愈來愈多資訊保安漏洞的新聞,亦反映出黑客針對的目標不再只是大企業,中小企也不得不認真考慮資訊保安方面的投資。

這兩年勒索軟件盛行,有報告指只有不到 10% 的機構能檢測到勒索軟件的相關活動;另一方面有 80% 機構反映其系統存在高或嚴重級別的漏洞,然而大部分漏洞早於過去五年已公佈。 黑客利用作業系統或軟件的漏洞入侵,傳統防毒軟件不易發現。而愈來愈多資訊保安漏洞的新聞,亦反映出黑客針對的目標不再只是大企業,中小企也不得不認真考慮資訊保安方面的投資。

 

網絡保安前景嚴峻 企業難有效抵禦

隨著物聯網時代的開啟,全球企業的營運模式亦隨之而改變,同時亦面對更活躍的網絡攻擊行為和複雜的網絡保安環境。為應對種類繁複的威脅,可以預見網絡安全公司的數量亦會激增,在缺乏交流合作和互通的前提下,網絡保安行業將會面臨更嚴峻的情景。

據統計,越來越多惡意程式和攻擊針對終端 (End-point) 上,單是去年,就發現有 5.8 億已知的惡意程式威脅,平均每天新增約 39 萬惡意程式,但傳統的終端保護方案只覆蓋約 1.5 億的病毒特徵庫,遠遠不足已知威脅數量,更遑論做到全面保護。

此外,亦有調查指出約有 95% 大型企業均被惡意流量視為攻擊目標,有三成企業需要兩年以上時間才發現漏洞,五成半企業表示不能確認漏洞的成因,這些漏洞為企業造成每年平均 590 萬美元的損失;其中 54% 漏洞能成功潛伏在企業內部系統至少一個月,65% 企業更表示不少攻擊能可避開現有的預測性保安軟件的分析和偵測;60% 企業的數據可在一小時內被盜取,平均要花費 45 天時間才能解決這類網絡攻擊事件。

 

網絡攻擊即服務 資訊保安正面臨「黑客產業」威脅

針對各種企業內部系統舊未修復的過時漏洞,勒索軟件的入侵自然層出不窮,不過最常見的則有三種:網路廣告、被黑客入侵過的網站、電郵。即使資訊保安人員經常強調不要亂開網站,但很多時候不少網站其實本身沒有問題,但顯示的廣告卻被植入代碼,即使用戶沒有正常地瀏覽網站亦可能已經中招,這亦是這類攻擊防不勝防的原因。

除了黑客主動發動攻擊,其實勒索軟件已經變成一種服務(Ransomware-as-a-Service)產業,黑客提供工具製作勒索軟件,並讓客戶經他們的平台收取受害人的贖金,再從中收付佣金和服務費。

另一種方式則是「水坑攻擊」(Watering Hole Attack)。就像動物會去水源喝水,獵人只需在水源守候自然會有收穫一樣,黑客只要入侵正常網站並植入惡意代碼,那就算是瀏覽安全內容的網站也可能中招。最後就是偽冒受害人朋友、客戶或關係人士的電郵,引誘打開帶有惡意代碼的文件,從而入侵受害者電腦。

這類電郵往往難以防範,有人認為不打開英文的郵件就沒問題,但其實已有不少案例發現是用中文來寫的。甚至有黑客會事先「起底」,了解用戶最近的狀況例如公司剛成功達成合作發來賀電,受害人只要不夠小心就會中招。現時這類惡意軟件更會設立 24 小時熱線接聽查詢,協助受害人買 Bitcoin 繳付贖金,均反映相關「產業」背後所產生的利益。

此外,Deep Web 網絡黑市中各種明碼實價出售的惡意程式和攻擊服務,包括 APT 攻擊、DDos 攻擊、勒索軟件,甚至是直接僱傭黑客提供各種網絡攻擊、入侵服務。這意味著攻擊者不再是單個精通各種技術的黑客,更可能是商業競爭對手甚至是不懂任何技術的普通人,企業安全面對的是整個黑客產業的威脅。

 

沙盒機制偵測代碼防範零日攻擊 機器學習成抵禦新方法

勒索軟件往往是針對系統的「零日漏洞」(Zero-Day)攻擊,因此大多是特製的。傳統防毒軟件是靠收集發現過的病毒並記認其特徵,從而過濾病毒,但包括勒索軟件在內的新式惡意軟件大都未有出現過,這令傳統防毒方式很難阻擋,也是就算安裝了防毒軟件也會受害的原因。

現時新式的資訊保安系統就會利用「沙盒」技術,讓進來的檔案先在控制的環境下執行,一旦發現有可疑的行為就不予放行,阻止惡意軟件入侵。例如 Juniper Networks 的 Sky Advanced Threat Prevention 方案,透過程式碼檢查 (Code Inspection) 機制,可分析接受到的外部通訊要求或程式當中是否藏有針對漏洞寫成的攻擊程式碼,配合 Sanbox 機制和機械學習 (Machine Learning) ,有助系統更準確、安全地分析未知程式。就像一個包裹,拆開看到有槍管、彈夾、子彈,基本上可確定能組成槍械造成威脅;而 Code Inspection 的原理亦是如此,透過分析程式碼,判斷通訊傳輸內容是否有機會構成惡意攻擊程式

而在終端防護上,現時的網絡保安亦主張統合式管理,不再是每個硬件設備各自為政,以建立城牆保護城市為例子,以往網絡保安就是針對不同的硬件和設備築起不同的牆,然而牆與牆之間並非緊密連接,還有很多空隙令外部的攻擊能輕鬆突破。而新的網絡保安方案則選擇將網絡架構設備原有的防護方案,包括 AMP 進階惡意程式防護、NGFW 防火牆、 NGIPS 入侵預防系統、網絡閘道等作整合式威脅管理,做到嚴密的防禦和加快偵測時間,逐漸成為資訊保安架構未來的主流方向。