克蘭去年耶誕節前,惡意程式BlackEnergy導致大停電事件,引發資安圈震撼,但這不是單一事件,後來甚至發現,同樣的惡意程式還出現在烏克蘭採礦公司和鐵路公司。而發現這個關連性的就是趨勢科技前瞻威脅資深資安研究員Kyle Wilhoit,他本身則專精各種前瞻威脅和關鍵基礎建設(SCADA)領域的研究。
因此,他也從既有網路攻擊帶來的6大風險開始,進一步推論未來可能改變網路攻擊的6種模式,以及資安產業應該如何因應如此複雜網路攻擊的6大因應對策。
攻擊帶來6個層面的風險
現在的網路攻擊鎖定幾個重要的面向,首先,關鍵基礎建設的安全面臨重大的挑戰。
Kyle Wilhoit舉例,在去年耶誕節前夕,烏克蘭西部電廠出現大規模的停電,事後追蹤發現,這其實就是俄羅斯駭客在烏克蘭電廠植入惡意程式BlackEnergy所導致的結果。這起停電事件,造成烏克蘭西部電廠無法運作,總計造成225,000人大規模停電。
據Kyle Wilhoit和趨勢科技前瞻威脅研究團隊追蹤發現,其他像是這個惡意程式除了造成烏克蘭電廠停電外,也發現這個惡意程式已經入侵烏克蘭最大的採礦公司以及鐵路公司系統,雖然都只是初步的入侵,尚未造成真正大規模的損害事件,卻也讓人必須審慎面對相關惡意程式對關鍵基礎建設安全帶來的威脅與風險。
再者,網路攻擊不僅帶來身分資料外洩與身分竊盜的隱憂,更可以發現駭客已經成為商人,以獲利為主要的目的。
根據趨勢科技的統計,造成身分竊盜與個資外洩有幾個重要的管道,首先,造成最大量身分資料外洩的管道就是內部外洩(Insider Leak),比例超過四成(44.2%);其次為駭客入侵或被植入惡意程式(15.2%);第三名是隨身可攜裝置遺失(12.8%);第四名則是實體遺失(9.3%);第五名則是不小心造成的個人身分資料外洩(6.2%)。
外洩身分的原因有許多是護照遺失,當然,許多黑市交易盛行,也有不少網站提供偽造護照的服務,有的提供護照掃描也有提供整本新護照。「殺頭生意有人做,賠錢生意沒人做,」駭客為了賺錢也無所不用其極,Kyle Wilhoit說,駭客除了賣槍之外,販售各種身分資訊更是獲利主流,許多特殊管道的網站中,掃描一本美國護照需要支付30美元,但如果是掃描一份美國駕照,則需要支付145美元,若是偽造一本美國護照,就得支付780美元(約25,000元)。
若要評估不同國家的黑市交易是否有利於這些網路犯罪,Kyle Wilhoit表示,德國就是駭客認為高獲利但進入門檻高的利基國家,可以從德國人使用的各種信用服務中,取得個人相關的敏感資訊;至於中國的地下黑市,則是駭客們視為可以嘗試各種新型態詐騙服務原型的國家,不僅可以銷售詐騙軟體,也同時可以販售相關的硬體設備,這都是一個很好的測試領域。
第三,網路攻擊也開始鎖定一些POS系統,Kyle Wilhoit指出,駭客就可以從獲得的信用卡資料賺錢,不論是賣信用卡資料或者是用來買東西都是獲利模式;而駭客鎖定美國加州的醫院,植入勒索軟體加密醫院系統和文件,逼的醫院必須支付贖金解密以恢復醫院正常運作,都是駭客獲利賺錢的方式。
第四,許多家庭使用者也因為家用路由器有漏洞,而遭到網路攻擊。Kyle Wilhoit表示,家用路由器是家庭對外連網的重要核心,駭客只要想竊取一般家庭用戶的敏感資料,就可以鎖定家用路由器發動攻擊,最常見的攻擊手法就是DNS劫持(DNS Hijacking)。也就是說,駭客會透過惡意的瀏覽器腳本語言,去改變家用路由器中的DNS(網域)設定,也可以趁機偷走使用者敏感的帳號及登入資料等。
最後,不論是隱私保護,或者是落實供應鏈安全,都是面對網路攻擊必須留意的2大環節。根據統計,有74%的駭客入侵是透過魚叉式網路釣魚攻擊方式,而在駭客入侵後,只需要1小時的時間,就可以和命令與控制伺服器(中繼站)完成連線,駭客就可以順利下令;有90%的惡意程式,至少會感染一臺以上的主機,這對駭客是相對有利的立足點。
Kyle Wilhoit指出,先前就有駭客集團鎖定伊朗的僑民,發動相當複雜的釣魚信件攻擊,駭客的目的是要竊取伊朗僑民的電子郵件和通訊錄等,只要駭客到手相關的資料,便幾乎就可以做到為所欲為。其他像是BlackEnergy影響採礦和鐵路公司,就是一種供應鏈的安全。
對於駭客而言,Kyle Wilhoit認為,只要利用一般使用者相信的管道或信任的系統,就可以堂而皇之的竊取更多敏感性資料,不論是人事或薪資系統,或者是電子病歷系統,甚至是POS系統整合商、零售業者和法律事務所等,都是一般人信任的管道,假若駭客利用這種信任基礎,就可以以此為據點,透過相關的供應鏈關係,進一步取得更多更敏感的資料。以目前來說,包括零售業者、醫療保健業者、政府部門、金融產業、高科技業者以及相關的能源業者,都是被駭客高度鎖定的產業,透過複雜的供應鏈關係,甚至可以取得更多不為人知的敏感個資。
改變網路攻擊的6種方式,6種因應對策
Kyle Wilhoit坦言,現在的網路攻擊一直在持續進化,所有的改變,都可能會改變未來網路安全攻擊與防禦的模式。
他表示,未來的網路攻擊可以看出6種特性,首先,有一些科學家也在研究可以植入人體的填充物或晶片,假設,駭客開始找這些植入人體晶片的漏洞時,這是實體還是虛擬的網路攻擊形式呢?其次,現在許多人都認同,生物辨識是相對安全的身分認證系統,但當駭客可以駭入以生物辨識為主的多因素認證系統時,這樣的生物辨識還是安全的辨識方式嗎?
第三點,未來犯罪情資的蒐集一定會比現在更聰明,使用大資料技術做情報分析已是必然。第四點,為了避免無人機或無人駕駛以及機器人等干擾犯罪偵查,也必須避免可能的濫用;其他像是針對關鍵基礎建設的犯罪性攻擊,或者是把現在實體機器上的命令與控制伺服器搬上雲端等,都會大幅改變現在網路攻擊的樣貌。
面對如此先進複雜的駭客攻擊,資安產業是否有能力面對這樣的改變呢?Kyle Wilhoit認為,許多資安業者努力保護使用者的資產,資安研究人員投入更多心血時間做研究,資安公司投入更多的資源在相關技術領域,在2016年可以看到的產出就包括:超過600篇的部落格文章及白皮書,7億個以上的病毒特徵碼,也有195,000個資安研究員將投入資安研究。
為了做到更好的防禦機制,Kyle Wilhoit表示,有6種方式可以提升我們的防禦能力。首先,機器學習的能力是提升資安產品防禦能力的重要關鍵,像是可以讓防火牆、代理伺服器以及相關資安防禦軟體及硬體設備更聰明;再者,一些具備適應性能力的Honeypot(蜜罐),更容易讓駭客受騙上當。
第三點,資安公司也會定期對駭客發動反擊,蒐集更多駭客的攻擊行為與資料;第四點,許多組織之間將更頻繁的分享更多的資安資訊;第五點,防火牆也會從現有的企業環境滲透到家用環境;最後,大資料分析技術可以讓數位鑑識變得更容易,也更有機會從這些跡證中,找到駭客入侵的蛛絲馬跡。
Kyle Wilhoit認為,現在駭客的攻擊每天都會發生,為了竊取個資和金融資訊,駭客的目的是為了賺錢,這也使得駭客竊取個人隱私的攻擊更是家常便飯,目前看來,這樣的駭客攻擊背後大概有兩種支持者,一種是國家支持的駭客攻擊,許多關鍵基礎設施的中斷便是這類;另外一類就是為了獲利的駭客攻擊。
駭客攻擊越來越積極頻繁,我們便得正式該如何防禦?Kyle Wilhoit便說,好的機器學習演算法,可以提高資安產品的防禦能力;好的資安防禦技術可以阻止駭客的攻擊;但是,資安公司的防禦能力要和攻擊者打成平手,仍是一大挑戰。
【相關報導請參考「2016 全臺最大規模資安盛會直擊」】