网络攻击一直持续进化,面对如此先进复杂的骇客攻击,为了做到更好的防御机制,机器学习让防火墙、代理伺服器以及相关资安软硬体设备更聪明,是提升资安产品防御能力的重要关键之一
克兰去年耶诞节前,恶意程式BlackEnergy导致大停电事件,引发资安圈震撼,但这不是单一事件,后来甚至发现,同样的恶意程式还出现在乌克兰采矿公司和铁路公司。而发现这个关连性的就是趋势科技前瞻威胁资深资安研究员Kyle Wilhoit,他本身则专精各种前瞻威胁和关键基础建设(SCADA)领域的研究。
因此,他也从既有网络攻击带来的6大风险开始,进一步推论未来可能改变网络攻击的6种模式,以及资安产业应该如何因应如此复杂网络攻击的6大因应对策。
攻击带来6个层面的风险
现在的网络攻击锁定几个重要的面向,首先,关键基础建设的安全面临重大的挑战。
Kyle Wilhoit举例,在去年耶诞节前夕,乌克兰西部电厂出现大规模的停电,事后追踪发现,这其实就是俄罗斯骇客在乌克兰电厂植入恶意程式BlackEnergy所导致的结果。这起停电事件,造成乌克兰西部电厂无法运作,总计造成225,000人大规模停电。
据Kyle Wilhoit和趋势科技前瞻威胁研究团队追踪发现,其他像是这个恶意程式除了造成乌克兰电厂停电外,也发现这个恶意程式已经入侵乌克兰最大的采矿公司以及铁路公司系统,虽然都只是初步的入侵,尚未造成真正大规模的损害事件,却也让人必须审慎面对相关恶意程式对关键基础建设安全带来的威胁与风险。
再者,网络攻击不仅带来身分资料外泄与身分窃盗的隐忧,更可以发现骇客已经成为商人,以获利为主要的目的。
根据趋势科技的统计,造成身分窃盗与个资外泄有几个重要的管道,首先,造成最大量身分资料外泄的管道就是内部外泄(Insider Leak),比例超过四成(44.2%);其次为骇客入侵或被植入恶意程式(15.2%);第三名是随身可携装置遗失(12.8%);第四名则是实体遗失(9.3%);第五名则是不小心造成的个人身分资料外泄(6.2%)。
外泄身分的原因有许多是护照遗失,当然,许多黑市交易盛行,也有不少网站提供伪造护照的服务,有的提供护照扫描也有提供整本新护照。“杀头生意有人做,赔钱生意没人做,“骇客为了赚钱也无所不用其极,Kyle Wilhoit说,骇客除了卖枪之外,贩售各种身分资讯更是获利主流,许多特殊管道的网站中,扫描一本美国护照需要支付30美元,但如果是扫描一份美国驾照,则需要支付145美元,若是伪造一本美国护照,就得支付780美元(约25,000元)。
若要评估不同国家的黑市交易是否有利于这些网络犯罪,Kyle Wilhoit表示,德国就是骇客认为高获利但进入门槛高的利基国家,可以从德国人使用的各种信用服务中,取得个人相关的敏感资讯;至于印度的地下黑市,则是骇客们视为可以尝试各种新型态诈骗服务原型的国家,不仅可以销售诈骗软体,也同时可以贩售相关的硬体设备,这都是一个很好的测试领域。
第三,网络攻击也开始锁定一些POS系统,Kyle Wilhoit指出,骇客就可以从获得的信用卡资料赚钱,不论是卖信用卡资料或者是用来买东西都是获利模式;而骇客锁定美国加州的医院,植入勒索软体加密医院系统和文件,逼的医院必须支付赎金解密以恢复医院正常运作,都是骇客获利赚钱的方式。
第四,许多家庭使用者也因为家用路由器有漏洞,而遭到网络攻击。Kyle Wilhoit表示,家用路由器是家庭对外连网的重要核心,骇客只要想窃取一般家庭用户的敏感资料,就可以锁定家用路由器发动攻击,最常见的攻击手法就是DNS劫持(DNS Hijacking)。也就是说,骇客会透过恶意的浏览器脚本语言,去改变家用路由器中的DNS(网域)设定,也可以趁机偷走使用者敏感的帐号及登入资料等。
最后,不论是隐私保护,或者是落实供应链安全,都是面对网络攻击必须留意的2大环节。根据统计,有74%的骇客入侵是透过鱼叉式网络钓鱼攻击方式,而在骇客入侵后,只需要1小时的时间,就可以和命令与控制伺服器(中继站)完成连线,骇客就可以顺利下令;有90%的恶意程式,至少会感染一台以上的主机,这对骇客是相对有利的立足点。
Kyle Wilhoit指出,先前就有骇客集团锁定伊朗的侨民,发动相当复杂的钓鱼信件攻击,骇客的目的是要窃取伊朗侨民的电子邮件和通讯录等,只要骇客到手相关的资料,便几乎就可以做到为所欲为。其他像是BlackEnergy影响采矿和铁路公司,就是一种供应链的安全。
对于骇客而言,Kyle Wilhoit认为,只要利用一般使用者相信的管道或信任的系统,就可以堂而皇之的窃取更多敏感性资料,不论是人事或薪资系统,或者是电子病历系统,甚至是POS系统整合商、零售业者和法律事务所等,都是一般人信任的管道,假若骇客利用这种信任基础,就可以以此为据点,透过相关的供应链关系,进一步取得更多更敏感的资料。以目前来说,包括零售业者、医疗保健业者、政府部门、金融产业、高科技业者以及相关的能源业者,都是被骇客高度锁定的产业,透过复杂的供应链关系,甚至可以取得更多不为人知的敏感个资。
改变网络攻击的6种方式,6种因应对策
Kyle Wilhoit坦言,现在的网络攻击一直在持续进化,所有的改变,都可能会改变未来网络安全攻击与防御的模式。
他表示,未来的网络攻击可以看出6种特性,首先,有一些科学家也在研究可以植入人体的填充物或晶片,假设,骇客开始找这些植入人体晶片的漏洞时,这是实体还是虚拟的网络攻击形式呢?其次,现在许多人都认同,生物辨识是相对安全的身分认证系统,但当骇客可以骇入以生物辨识为主的多因素认证系统时,这样的生物辨识还是安全的辨识方式吗?
第三点,未来犯罪情资的蒐集一定会比现在更聪明,使用大资料技术做情报分析已是必然。第四点,为了避免无人机或无人驾驶以及机器人等干扰犯罪侦查,也必须避免可能的漤用;其他像是针对关键基础建设的犯罪性攻击,或者是把现在实体机器上的命令与控制伺服器搬上云端等,都会大幅改变现在网络攻击的样貌。
面对如此先进复杂的骇客攻击,资安产业是否有能力面对这样的改变呢?Kyle Wilhoit认为,许多资安业者努力保护使用者的资产,资安研究人员投入更多心血时间做研究,资安公司投入更多的资源在相关技术领域,在2016年可以看到的产出就包括:超过600篇的部落格文章及白皮书,7亿个以上的病毒特征码,也有195,000个资安研究员将投入资安研究。
为了做到更好的防御机制,Kyle Wilhoit表示,有6种方式可以提升我们的防御能力。首先,机器学习的能力是提升资安产品防御能力的重要关键,像是可以让防火墙、代理伺服器以及相关资安防御软体及硬体设备更聪明;再者,一些具备适应性能力的Honeypot(蜜罐),更容易让骇客受骗上当。
第三点,资安公司也会定期对骇客发动反击,蒐集更多骇客的攻击行为与资料;第四点,许多组织之间将更频繁的分享更多的资安资讯;第五点,防火墙也会从现有的企业环境渗透到家用环境;最后,大资料分析技术可以让数位鉴识变得更容易,也更有机会从这些迹证中,找到骇客入侵的蛛丝马迹。
Kyle Wilhoit认为,现在骇客的攻击每天都会发生,为了窃取个资和金融资讯,骇客的目的是为了赚钱,这也使得骇客窃取个人隐私的攻击更是家常便饭,目前看来,这样的骇客攻击背后大概有两种支持者,一种是国家支持的骇客攻击,许多关键基础设施的中断便是这类;另外一类就是为了获利的骇客攻击。
骇客攻击越来越积极频繁,我们便得正式该如何防御?Kyle Wilhoit便说,好的机器学习演算法,可以提高资安产品的防御能力;好的资安防御技术可以阻止骇客的攻击;但是,资安公司的防御能力要和攻击者打成平手,仍是一大挑战。
