【臺灣資安大會直擊】由於近日國外盛傳,有臺灣穿戴式裝置大廠因勒索軟體攻擊而支付了高額贖金給駭客,在今天(8/11)第一天舉行的臺灣資安大會上,趨勢科技全球核心技術部資深協理張裕敏提出警訊,這將使臺灣企業更容易成為駭客勒索攻擊的目標,甚至他大膽預測,今年下半年,臺灣將有可能出現大規模目標式勒索攻擊潮,而且不分產業,都有可能成為未來遭受攻擊的目標對象。

2020臺灣資安大會第一天,一如往年,張裕敏也擔任首日大會Keynote講者,來分享最新的資安威脅趨勢與剖析駭客攻擊手法,他開宗明義就點出近兩個月在國內外發生數幾資安攻擊事件,都跟目標式勒索攻擊有關,不容企業忽視。

由於今年COVID-19疫情加速企業轉型,但也帶來更大資安隱憂,張裕敏觀察到,今年和以前很不一樣,許多駭客因為沒辦法外出,所以這些人都透過網路來發洩,因此,今年上半年各種漏洞或攻擊事件頻傳,數量更甚以往。

他分析國外近來幾起資安重大事件,大多以資料外洩為主,反觀,臺灣則是以目標式勒索攻擊占大宗,光是今年5、6、7月,臺灣就有多起的企業資安重大事件都跟它有關,舉凡穿戴式裝置大廠、PCB廠、到自動化設備商、半導體封測,以及石油公司都有。

駭客一般採用目標式勒索攻擊的常見步驟,像是有經常使用網頁 、RDP甚至VPN弱點,或是釣魚式郵件手法,入侵到企業系統內部,並潛伏在目標主機,如AD server,然後在特定時間點透過勒索軟體發動大規模散布,將其目標主機內容加密,讓企業措手不及。

但他指出,這種目標式勒索攻擊,也不斷在持續演進,近來,雖然在攻擊手法上,並沒有採用新技術,但駭客卻開始運用各種手法,來誘使被駭企業願意付錢了事,包括了要脅將偷到的資料公開在網路上,迫使企業付款,或是將加密資料自己備分一份,等到企業因未備份,無法救回資料,駭客反過來將這些資料賣要企業,藉此大賺一筆。「這也反應出,駭客這幾年心態上已有所轉變,從以往好玩、測試,轉變破壞與勒索。」他說。

又如Ragnar Locker這個勒索軟體,雖然仍是採用舊手法,但卻加入新的規避機制,也讓它難以被資安軟體察覺。他另外也舉其中一個他稱之為GDPR勒索的作法,雖然不是透過勒索軟體,但在獲利手法上,一樣將資料從資料庫偷出後,駭客會再以通知歐盟違反GDPR資料保護須付出高額罰款為由,勸誘對方用錢贖回,他表示,這類的手法,未來將成為常態。就算是開發者常用的幾大開源程式代管平臺如GitHub、GitLab等,也都成為駭客存放偷來資料的新路徑。

張裕敏也提到,近日國外盛傳臺灣有家穿戴式裝置大廠付了3億元臺幣給駭客,沒過多久,他便發現到不少暗網上的駭客討論熱絡,一副躍躍欲試的樣子。他說,當有企業願意付這麼多錢,駭客食髓知味後,接下來,就會有更多駭客傾巢而出, 加上臺灣有很多中小型製造業,都是他們可以攻擊勒索的目標。

甚至他大膽預測,今年下半年,臺灣將有可能發生大規模目標式勒索攻擊,而且不分行業,不論是工業、商業、銀行、政府機構,都有可能成為下一波勒索攻擊標的。

當然,不只是勒索軟體盛行,近來,也有不少重大資安漏洞頻傳,尤其,在今年7月,有6家網通或系統業者,不約而同都出現CVSS風險分數最高等級的重大漏洞,也就是遠端執行程式碼的安全漏洞,只要這些網路設備存在有這些漏洞,駭客就能輕而易舉進到企業內部,竊取重要機密資料,這也讓資安人員疲於奔命,忙於修補漏洞,甚至被資安圈形容是七月浩劫。

他發現,就在7月底,一個惡名昭彰的惡意程式Emotet,已經在伺機而動,駭客把這6大漏洞全部打包進到他的攻擊模組,並且在8月初就開始在網路大規模掃描,尋找有這些漏洞,且還未修捕的設備,他也擔憂,目前不少企業尚未完成修補,很容易成為下手的目標。

張裕敏也提到一些知名資料庫,如Elasticsearch、MongoDB、cassandra,近來都有遭到駭客成功入侵過的記錄,他並建議,企業只要有資料庫有連網,平時就得要注意其組態設定或是安全設定有無確實落實,以避免存在資料庫裡的資料被竊取或清空的情況。

講到5G、雲端安全防護,他也強調,面對後5G或後雲端時代的來臨,網路架構越來越IT化、複雜化,使得網路安全防護邊界正在改變當中,因此,他指出,企業也得重新思考,現有的資訊設備,甚至是資安管控強度,是否足以應付這些新威脅。這些都是企業朝向數位轉型會面臨到的資安挑戰。

甚至隨著漏洞與攻擊事件越來越普遍,他表示,企業也得改變過去只有大型企業才容易會被駭客鎖定的舊思維,現在即使是無名的小企業,也都可能成為其攻擊目標,因此,「企業應該關注的,不再是自己會不會被攻擊,而是攻擊何時會發生。」他表示。

面對這些因數位轉型帶來的資安威脅,張裕敏也提出三大防護建議。首先,企業應建立情資分享管道,從政府或是民間單位,建立多元情資管道,藉由彼此通報,掌握各種資安事件以提前反應,早一步針對攻擊威脅採取應變措施,其次,資安防護面向,也得要從傳統IT,延伸到不同應用場景,不論是企業內部IT、工控OT、企業BYOD,或居家辦公的場景,企業都要有所掌握才行。最後,就算做好了萬全的資安準備,他說,面對不可預測的未來,企業仍可持續做好提前預測和預防的準備,透過資安超前部署,達到將資安風險降到最低的目標。

相關報導請見:臺灣資安大會直擊(上)資安將是臺灣新戰略產業


Advertisement

更多 iThome相關內容