补强防御体质 以抗衡多变的网安威胁 智能应用 影音
Microchip
ST Microsite

补强防御体质 以抗衡多变的网安威胁

  • DIGITIMES企划

2016年期间,黑客利用Mirai 僵屍病毒控制大量网络摄影机,继而发动超大规模DDoS攻击,使得物联网安全议题就此浮上台面。来源:Mashable
2016年期间,黑客利用Mirai 僵屍病毒控制大量网络摄影机,继而发动超大规模DDoS攻击,使得物联网安全议题就此浮上台面。来源:Mashable

论及网安事件,近年来不管在国内或国外,皆是洋洋洒洒。先从国外来看,尽管2016年期间,似乎未出现如过去Sony Pictures或Target可被当做教案的大型惨剧,但依旧风波不断,且惊悚程度有过之而无不及。

首先值得一提的,便是以巨量DDoS攻击掀起腥风血雨的Mirai。2016年10月DNS服务供应商Dyn惨遭DDoS侵袭,导致Twitter、Reddit、Spotify或SoundCloud等使用其服务的知名网络受到波及,无法正常运作,而在稍早前的9月,包括KrebsOnSecurity网安博客、法国网站代管服务供应商OVH,也曾遭遇近1Tbps的猛烈DDoS袭击。

物联网安全  是未来重大课题

经过网安公司分析,发现上述三起事件虽然都有Mirai殭屍病毒参与其中,但背后的殭屍网络并非同一个,只因随着原作者公布Mirai原始码,不同黑客团队纷纷利用它来建立自己的Mirai殭屍网络。

Mirai是ELF恶意程序,而Linux与UNIX系统共通的档案格式,换言之Mirai即是一种锁定物联网(IoT)装置的病毒,包括网络摄影机等各种智能家庭装置,若习惯以缺省的帐号口令执行登入,即可能沦为黑客禁脔。

在2015、2016年间,也有一起攻击事件与工业物联网相关,即是发生在乌克兰的大型停电事故。据悉,俄罗斯黑客在乌克兰电厂植入BlackEnergy恶意程序,导致电厂无法正常运作,遂酿成大规模停电事件。

这起事件震撼网安业界,因为一直以来,尽管许多专家都预期各种产业的基础建设,未来将面临更大安全威胁,但始终停留在警语层次,如今乌克兰电厂即算是活脱脱的案子,这也意谓许多产业长期仰赖的「监控与数据撷取」(SCADA)自动化控制系统,正式成为黑客锁定的目标。

归纳上述事件,可以肯定物联网安全将是未来值得密切关注的课题。时序进入2017年,在信息安全、负载平衡等业界颇负盛名的Radware,发现一个类似于Mirai、同样可入侵物联网装置的恶意程序,名为BrickerBot,但它可怕之处,不在于利用这些装置组织成为僵屍网络大军,也并非锁定特定目标发动DDoS攻击,而是使遭到感染的装置完全丧失功能,形成「永久性阻断服务攻击」(Permanent Denial-of-Service;PDoS)。

深究BrickerBot运作方式,是透过一系列Linux命令的执行,先破坏IoT装置的储存,接着再破坏装置的联网机制、瘫痪装置效能,最终全数移除装置上档案数据,至此该装置完全失去作用。Radware建议,IoT装置用户宜变更装置的缺省凭证,关闭装置的Telnet功能,并同步安装行为分析及病毒码比对等安全工具。

BEC或BPC诈骗  恐层出不穷

此外较值得留意的,还有属于变脸诈骗(BEC)或商业流程入侵(BPC)等型态的事故,甚至有网安业者,将它们列为继Botnet傀儡僵屍网络、针对性攻击(Targeted Attack)、移动威胁、勒索软件(Ransomware)之后,最具破坏力的数码威胁。

所谓BPC,系由黑客利用各种管道骇入企业的业务流程系统,再透过新增、修改或删除数据,将款项转至其帐户,或将商品转到指定地点;震惊全球的孟加拉央行惨遭盗领8,100万美元的事件,即是很典型的BPC案例。

至于BEC,不论国内外都曾有企业因此沦为受害者,最典型的受害过程,不外是企业财务主管受到来自国外商业夥伴的邮件,阐述因为某某看似合理的缘故,所以需要换置汇款帐户,假使该主管不疑有他,真的将款项汇出,便可能在短时间内酿成高额损失。

说起孟加拉央行惨遭盗领的事件,还衍生出另一焦点,即是作为全球金融机构交易电文的网络-「环球银行金融电信协会」(SWIFT),其用户涵盖众多金融机构。

而在2016年间,黑客针对SWIFT客户的攻击时有所闻,意在入侵受害机构并篡改电文,将大笔款项转到黑客所掌握的帐户,因此在当年6月,SWIFT向客户发表一封信函,提醒客户应留意此类风险,且不忘更新软件,以强化网络安全体质。

本文一开头即指出,2016年似乎并未出现如Sony Pictures或Target等震撼全球的大事,但这并不意谓当年鲜少出现数据外泄,相反的,其灾情之惨重,可说是历年来之最,其中最具知名度的苦主便是Yahoo。

2016年第4季,Yahoo接获警方提供一批宣称是该公司的用户帐号,透过分析后发现,有一个未获授权的第三方组织,早在2013年间便成功窃取逾10亿笔用户数据;事实上,稍早前Yahoo才坦承在2014年间由于遭黑客攻击,以致造成5亿笔用户帐号外泄,因此证实在最近4年内,Yahoo被泄露的个数据笔数竟然超过15亿笔,相当惊人。

但网安业者提醒,前述事件的可怕之处不仅如此,因为不少使用者都习惯在不同网站,重复使用相同帐号与口令,所以只要黑客巧妙利用「帐号口令填充」(Credential Stuffing)手段,便可将窃取而来的帐号口令运用到极致,接连入侵受害者的多个不同网络帐号;故而Yahoo数据外泄事件的影响范围,肯定比事件的表象还来得大。

勒索病毒加DDoS  并称2017两大威胁

在台湾部份,最让人印象深刻的网安事故有三,一是震惊社会的第一银行ATM盗领事件,二是甚难加以根除、其危害在2016年攀上高峰的勒索病毒,再者则发生在2017年初,史上头一遭证券商集体遭到DDoS攻击勒索的事件;许多网安专家或业者,也根据这些事件型态,归纳出2017年最值得企业用户提防的两大威胁,便是勒索软件、DDoS攻击。

美国FBI初估,2016年美国勒索软件的犯罪规模超过10亿美元,反观2015年却只有2,400万美元,前后差距高达40倍以上,显见勒索软件堪称「爆红」的新一代威胁。

影响所及,现已开始出现勒索软件即服务(Ransomware-as-a-service),乃至于宣称拉到下线便享有免费解密的新营运模式,甚至黑客也将勒赎对象从电脑、服务器,扩散到了手机、甚或智能联网电视等其他装置;正因如此,不少网安业界人士将勒索软件列为2017年重大网安威胁,可谓其来有自。

至于DDoS,虽然并非新鲜攻击,但近年来翻红速度相当快,只因攻击流量愈来愈大,甚至达到Tb等级,攻击手法愈来愈复杂,除L3/4粗鲁暴力型攻击外、还有L7状态耗尽型攻击或应用层攻击,且攻击范围也变大,受害者已不限于早期在线游戏或赌博网站,开始扩及政府、金融机构、学校等单位。

总而言之,2017年接下来的月份,预料仍将是网安威胁此起彼落、层出不穷的混乱时期,但无论威胁型态如何演变,可以肯定的是,企业单凭传统防毒软件、防火墙或IPS等防御机制,绝对难以有效抵挡,唯今之计,必须尽速拟定事件应变措施,并积极蒐集威胁情资、据以强化网安防护策略,先把底子打好,才有能力与黑客一搏。

关键字