圖片來源: 

趨勢科技

網路威脅不斷演進與變化,每年都有資安業者發布新一年度的預測,提醒我們該注意的威脅面向。隨著2019年的到來,對於網路犯罪集團的全球攻擊態勢,以及當前新興科技的演變而引起的風險,趨勢科技在2018年底發布了2019年資安預測報告,即針對新興科技、威脅情勢與使用者行為來分析,當中有七大重點警示值得關注。

簡單來說,趨勢預測報告提出的七大重點警示,包括:帳密填充攻擊、網路釣魚案例與商業電子郵件詐騙,他們都預測會變得更多,而ICS工業控制系統的攻擊威脅也將持續攀升,此外還有員工在家工作與家用連網裝置衍生的風險議題,GDPR的法規遵循,以及自動化將提高商業流程入侵的風險,都必須注意。

基本上,在趨勢這份預測報告之中,其實是分成了七大領域來討論,分別是消費者、企業、政府機關、資安產業、工業控制系統、雲端基礎架構與智慧家庭。不過,就上述七大資安警示而言,其實都是聚焦在企業、消費者與工業控制系統,因此,接下來我們也針對這3大領域的預測項目進一步介紹。

將有企業遭GDPR重罰的案例,預期資料外洩通報數量超過去年

對於企業而言,2019年需要關注的面向並不少,最受注目的,就是在2018年通過的歐盟GDPR,對於個資外洩的嚴格保護,趨勢認為,2019年將可能出現第一個大型違規案件,處以年營業額4%的最高罰鍰,目的是為了殺一儆百。同時,也因為GDPR的法規要求,關於資料外洩的通報案件數量,在新一年度預期會變得更多。另外,Google在2019年雲端身分識別安全的預測中,也有同樣的看法。

較特別的是,報告中提到將有越來越多攻擊鎖定員工家中連上網際網路的裝置,並認為這樣的威脅,與過去個人在企業使用自身裝置(BYOD)的資安風險類似。

在這項預測中,趨勢引述了蓋洛普(Gallup)與Polycom的調查,例如,指出美國在2017年有將近三分之二的員工,善於利用「彈性上班地點」的政策,另一方面,趨勢研究人員也證明家中的智慧喇叭,也會帶來外洩資料的風險,而在兩大趨勢的交互影響之下,他們預期,在2019年將出現針對智慧喇叭的弱點,從員工家用網路進入企業網路的案例。

關於家中連網裝置可能帶來資料外洩的風險,在過去趨勢談IoT內建安全防護不足的報告中,已經做出提醒,而在這次2019年的資安預測中,他們也認為將有鎖定智慧喇叭,從員工家用網路進入企業網路的案例會發生。(圖片來源:趨勢科技)

不僅如此,這幾年來,持續為企業帶來鉅額損失的商業電子郵件詐騙(簡稱BEC詐騙),仍然是需要關注的焦點。報告中指出,由於高階主管遭到BEC詐騙的新聞常曝光於媒體,因此,網路犯罪集團在手法上可能會有些變化,改為鎖定秘書、助理,或者是財務部門總監、經理等職務的人,也就是比CXO高層主管低兩個位階的職員。

此外,竄改企業流程的商業流程入侵(Business Process Compromise,BPC),也將隨著辦公自動化的興起,成為企業要面對的新挑戰。趨勢也引述了市場研究機構Forrester的預測,表示企業自動化在2019年將造成10%的人力工作被取代,這也說明了自動化的應用將更高,但自動化軟體本身的漏洞,或是與現有系統整合,以及企業供應商的面向,將可能形成新的資安缺口。

此外,針對使用者的網路釣魚攻擊,趨勢預測將越來越多,因此他們也提醒,留意犯罪集團運用運動或政治等時事,從企業員工的社群媒體帳號下手,以挖掘出更多關於員工的資訊,藉此發動網路釣魚攻擊。

針對帳號密碼的攻擊將更多,一般民眾不可輕忽

從消費者面向來看,最受關注的威脅變化,有兩個最重要,一是網路釣魚案例在2019年將大幅增加,成為網路犯罪者的主要攻擊管道,另一是帳戶資料外洩,遭盜用詐騙事件將不斷增加,需注意自動化的帳密填充攻擊。

網路釣魚威脅再攀升

以網路釣魚的威脅態勢而言,根據趨勢統計,他們攔截的網路釣魚相關網址數量,不僅是逐年攀升,並從2017年的7千3百萬個,到了2018年的2億1千萬個,成長3倍,因此他們認為2019年還會更高。

相對的,使用漏洞攻擊套件的手法,則是逐年減少的態勢,可能轉變以社交工程網路釣魚。根據趨勢攔截的漏洞攻擊套件活動,從2017年的1百萬次,2018年更是降到只有26萬次。

趨勢也進一步解釋,過去漏洞攻擊套件之所以盛行,因為能自動根據受害者的軟體版本,來判斷該利用哪一個漏洞進行攻擊。不過隨著行動平臺的盛行,裝置使用相同軟體或作業系統的市場壟斷情況已逐漸瓦解,網路犯罪集團變得需要做出抉擇,如要針對不同系統開發漏洞攻擊套件變得費工,還要面臨廠商更新修補的情況,因此,社交工程網路釣魚這種持續有效性的伎倆,將是網路犯罪者更傾向採用的方式。

值得關注的是,趨勢也有指出,網路犯罪者不僅是使用電子郵件進行網路釣魚,也會透過手機簡訊和即時通訊。對於社交工程詐騙的內容,趨勢科技也提醒,需注意歹徒用運動賽事或政治事件等時事來吸引。

較特別的是,新的SIM卡劫持(SIM-jacking)攻擊,更是他們認為相當仰賴的社交工程手法。並且,這是鎖定上一層管道來達到獲取帳密的目的。

簡單來說,SIM卡劫持是有歹徒假冒用戶本人名義,向電信公司謊稱自己的SIM卡遺失,申辦新的SIM卡,由於許多網路帳號與行動電話連結,成為接收雙因素認證的管道,歹徒便能夠藉以登入受害者的社交網站或其它帳號。

不過,這裡提到的是國外的案例,報告中並沒有提及臺灣環境的差異。就我們的觀察,國內電信業者在SIM卡遺失及轉換的處理,通常需要臨櫃雙證件申辦,這表示有心份子若要偽造雙證件,難度較高。不過,除了電信業者,國內金融業者也要注意,像是之前警政署曾破獲網路銀行盜轉案,是先竊取用戶雲端資料掌握個資,再假冒被害人撥打電話給銀行客服,以變更存戶聯絡電話,而這樣的例子則突顯出,金融業在以電話確認本人時,僅依靠個人資料,突顯出靜態資料確認的流程可能存在瑕疵,儘管目前已有聲紋辨識等技術應用,但還不普及。

注意帳密填充攻擊

另一個使用者要關注的是,帳戶資料外洩所衍生的問題,趨勢特別引用了Ponemon Institute與Akamai的報告內容,指出帳密填充攻擊(Credential Stuffing)越來越嚴重,這指的就是一般所謂的撞庫攻擊手法,會利用大量外流的電子郵件地址和密碼,並透過自動化的方式來嘗試入侵。

由於過去所曾發生多次大規模資料外洩事件,且不少使用者習慣在不同網站上,使用相同的帳號密碼,因此,趨勢認為網路上將出現犯罪集團大規模運用外洩帳號密碼的實際案例。

在帳密填充攻擊的威脅之外,2019年還有一些要注意的攻擊手法,例如,網路犯罪集團藉由入侵網路紅人的社群媒體帳號,藉此執行水坑式攻擊,藉由追隨者的管道以及粉絲信任的心理,散布惡意程式;利用聊天機器人來執行的詐騙攻擊也要留意,互動式語音應答的電話詐騙也會更進步。

此外,青少年也要注意非錢財的勒索方式,而性勒索(Sextortion)就是一例,例如透過網路聊天室等途徑取得被害人傳送的私密照,藉此要脅被害人,在趨勢的參考資料中,也舉出3起因性勒索而自殺的新聞事件,並指出這類攻擊將在2019危害更多生命。

工業控制系統漏洞被關注比例提升

關於工業控制系統的威脅方面,也是趨勢強調的部分。他們也引用了旗下ZDI漏洞懸賞計畫的資料,指出工業控制系統中,有很大一部分的漏洞是出現在管理SCADA系統軟體的HMI(Human Machine Interface),並預期2019年將有更多關於HMI的漏洞被揭露。同時,趨勢也指出一些根本性的問題,例如,這類HMI軟體並不像微軟和Adobe的軟體,受到嚴密保護,也不如大眾所想像,運作在獨立隔離的環境。

其次,由於一些國家為了培養及鍛鍊網路攻防技巧,會針對較小國家的關鍵基礎架構,來當成攻擊對象,這也促使針對ICS的攻擊,成為一項日益嚴重的問題。


Advertisement

更多 iThome相關內容