补强防御体质 以抗衡多变的网安威胁

2016年期间，黑客利用Mirai 僵屍病毒控制大量网络摄影机，继而发动超大规模DDoS攻击，使得物联网安全议题就此浮上台面。来源：Mashable

论及网安事件，近年来不管在国内或国外，皆是洋洋洒洒。先从国外来看，尽管2016年期间，似乎未出现如过去Sony Pictures或Target可被当做教案的大型惨剧，但依旧风波不断，且惊悚程度有过之而无不及。

首先值得一提的，便是以巨量DDoS攻击掀起腥风血雨的Mirai。2016年10月DNS服务供应商Dyn惨遭DDoS侵袭，导致Twitter、Reddit、Spotify或SoundCloud等使用其服务的知名网络受到波及，无法正常运作，而在稍早前的9月，包括KrebsOnSecurity网安博客、法国网站代管服务供应商OVH，也曾遭遇近1Tbps的猛烈DDoS袭击。

物联网安全  是未来重大课题

经过网安公司分析，发现上述三起事件虽然都有Mirai殭屍病毒参与其中，但背后的殭屍网络并非同一个，只因随着原作者公布Mirai原始码，不同黑客团队纷纷利用它来建立自己的Mirai殭屍网络。

Mirai是ELF恶意程序，而Linux与UNIX系统共通的档案格式，换言之Mirai即是一种锁定物联网(IoT)装置的病毒，包括网络摄影机等各种智能家庭装置，若习惯以缺省的帐号口令执行登入，即可能沦为黑客禁脔。

在2015、2016年间，也有一起攻击事件与工业物联网相关，即是发生在乌克兰的大型停电事故。据悉，俄罗斯黑客在乌克兰电厂植入BlackEnergy恶意程序，导致电厂无法正常运作，遂酿成大规模停电事件。

这起事件震撼网安业界，因为一直以来，尽管许多专家都预期各种产业的基础建设，未来将面临更大安全威胁，但始终停留在警语层次，如今乌克兰电厂即算是活脱脱的案子，这也意谓许多产业长期仰赖的「监控与数据撷取」(SCADA)自动化控制系统，正式成为黑客锁定的目标。

归纳上述事件，可以肯定物联网安全将是未来值得密切关注的课题。时序进入2017年，在信息安全、负载平衡等业界颇负盛名的Radware，发现一个类似于Mirai、同样可入侵物联网装置的恶意程序，名为BrickerBot，但它可怕之处，不在于利用这些装置组织成为僵屍网络大军，也并非锁定特定目标发动DDoS攻击，而是使遭到感染的装置完全丧失功能，形成「永久性阻断服务攻击」(Permanent Denial-of-Service；PDoS)。

深究BrickerBot运作方式，是透过一系列Linux命令的执行，先破坏IoT装置的储存，接着再破坏装置的联网机制、瘫痪装置效能，最终全数移除装置上档案数据，至此该装置完全失去作用。Radware建议，IoT装置用户宜变更装置的缺省凭证，关闭装置的Telnet功能，并同步安装行为分析及病毒码比对等安全工具。

BEC或BPC诈骗  恐层出不穷

此外较值得留意的，还有属于变脸诈骗(BEC)或商业流程入侵(BPC)等型态的事故，甚至有网安业者，将它们列为继Botnet傀儡僵屍网络、针对性攻击(Targeted Attack)、移动威胁、勒索软件(Ransomware)之后，最具破坏力的数码威胁。

所谓BPC，系由黑客利用各种管道骇入企业的业务流程系统，再透过新增、修改或删除数据，将款项转至其帐户，或将商品转到指定地点；震惊全球的孟加拉央行惨遭盗领8,100万美元的事件，即是很典型的BPC案例。

至于BEC，不论国内外都曾有企业因此沦为受害者，最典型的受害过程，不外是企业财务主管受到来自国外商业夥伴的邮件，阐述因为某某看似合理的缘故，所以需要换置汇款帐户，假使该主管不疑有他，真的将款项汇出，便可能在短时间内酿成高额损失。

说起孟加拉央行惨遭盗领的事件，还衍生出另一焦点，即是作为全球金融机构交易电文的网络－「环球银行金融电信协会」(SWIFT)，其用户涵盖众多金融机构。

而在2016年间，黑客针对SWIFT客户的攻击时有所闻，意在入侵受害机构并篡改电文，将大笔款项转到黑客所掌握的帐户，因此在当年6月，SWIFT向客户发表一封信函，提醒客户应留意此类风险，且不忘更新软件，以强化网络安全体质。

本文一开头即指出，2016年似乎并未出现如Sony Pictures或Target等震撼全球的大事，但这并不意谓当年鲜少出现数据外泄，相反的，其灾情之惨重，可说是历年来之最，其中最具知名度的苦主便是Yahoo。

2016年第4季，Yahoo接获警方提供一批宣称是该公司的用户帐号，透过分析后发现，有一个未获授权的第三方组织，早在2013年间便成功窃取逾10亿笔用户数据；事实上，稍早前Yahoo才坦承在2014年间由于遭黑客攻击，以致造成5亿笔用户帐号外泄，因此证实在最近4年内，Yahoo被泄露的个数据笔数竟然超过15亿笔，相当惊人。

但网安业者提醒，前述事件的可怕之处不仅如此，因为不少使用者都习惯在不同网站，重复使用相同帐号与口令，所以只要黑客巧妙利用「帐号口令填充」(Credential Stuffing)手段，便可将窃取而来的帐号口令运用到极致，接连入侵受害者的多个不同网络帐号；故而Yahoo数据外泄事件的影响范围，肯定比事件的表象还来得大。

勒索病毒加DDoS  并称2017两大威胁

在台湾部份，最让人印象深刻的网安事故有三，一是震惊社会的第一银行ATM盗领事件，二是甚难加以根除、其危害在2016年攀上高峰的勒索病毒，再者则发生在2017年初，史上头一遭证券商集体遭到DDoS攻击勒索的事件；许多网安专家或业者，也根据这些事件型态，归纳出2017年最值得企业用户提防的两大威胁，便是勒索软件、DDoS攻击。

美国FBI初估，2016年美国勒索软件的犯罪规模超过10亿美元，反观2015年却只有2,400万美元，前后差距高达40倍以上，显见勒索软件堪称「爆红」的新一代威胁。

影响所及，现已开始出现勒索软件即服务(Ransomware-as-a-service)，乃至于宣称拉到下线便享有免费解密的新营运模式，甚至黑客也将勒赎对象从电脑、服务器，扩散到了手机、甚或智能联网电视等其他装置；正因如此，不少网安业界人士将勒索软件列为2017年重大网安威胁，可谓其来有自。

至于DDoS，虽然并非新鲜攻击，但近年来翻红速度相当快，只因攻击流量愈来愈大，甚至达到Tb等级，攻击手法愈来愈复杂，除L3/4粗鲁暴力型攻击外、还有L7状态耗尽型攻击或应用层攻击，且攻击范围也变大，受害者已不限于早期在线游戏或赌博网站，开始扩及政府、金融机构、学校等单位。

总而言之，2017年接下来的月份，预料仍将是网安威胁此起彼落、层出不穷的混乱时期，但无论威胁型态如何演变，可以肯定的是，企业单凭传统防毒软件、防火墙或IPS等防御机制，绝对难以有效抵挡，唯今之计，必须尽速拟定事件应变措施，并积极蒐集威胁情资、据以强化网安防护策略，先把底子打好，才有能力与黑客一搏。