Palo Alto Netowrks
周星馳電影《功夫》有句經典臺詞:「天下武功無堅不破,唯快不破」,提醒大家動作要比競爭對手快,而在資安領域,隨著各種IT科技的快速進步,網路犯罪分子的攻擊速度也正在不斷提升,但到底有多快?有資安廠商綜合本身的觀察與其他資安公司的研究報告,預估在1年多後,主要的網路威脅活動能夠在60分鐘內發動,情況越來越嚴峻,大大考驗企業與組織應變能力與速度。
事實上,這兩年以來,網路攻擊者出手速度已經相當快,在Palo Alto Networks這幾天舉行的臺灣年度用戶大會,該公司日本與亞太區策略及網路安全顧問Vishal Lanjekar也提醒大家這個趨勢。
滲透與外洩資料間隔越來越短,大幅壓縮防守方調查應變時間
根據他們的調查,攻擊者一旦滲透至受害者的網路環境,平均9天之後會將資料取出(外洩),隨著AI和其他技術的不斷興起,到了2023年,這段期間已縮短至兩天,預估今年將有45%的事故會在1天之內被拿走資料,而在更近期的調查當中,他們發現攻擊者侵入受害者網路環境後的4小時內,就能運出好幾TB的資料。
如果資料在幾個小時內就會遭到外洩,Vishal Lanjekar也質疑是否仍要沿用傳統方法,看待這些狀態、繼續執行基本工作,「我們真的在處理問題嗎?這些狀況並不只是可能發生!(而是實際存在)」,除此之外,當攻擊者侵入之後到外洩資料的間隔縮短至幾個小時,是否還有足夠時間完成整個搜尋惡意活動的過程?
為何網路犯罪份子的攻擊速度越來越快?其中一個原因在於,歹徒正在運用AI技術提升他們發展的各種資安威脅能力,並且鎖定攻擊企業與組織。
針對這樣的現象,Vishal Lanjekar彙整多方資訊,呈現AI加速三大資安威脅的回顧與預測,消息來源涵蓋雲端服務業者Google Cloud、資訊安全教育訓練組織SANS的部落格文章,華爾街日報的新聞報導,以及Palo Alto Networks的XSIAM用戶訪談與遙測資料。
首先是眾人聞之色變的勒索軟體,在兩三年前(2021至2022年),組建這類資安威脅大約需要12小時,現在縮短至3小時,2026年以後,預估15分鐘就能完成。
第二是滲透與資料外洩的間隔時間(The time between initial compromise and data exfiltration),如前面所提到的,兩三年前的平均時間是9天,現在帶走資料的時間縮短至1天以內,到了2026年以後,只需要20分鐘。
從發起行動、竊取資料,到完成部署,攻擊者需要多少時間?
Palo Alto Networks的威脅情報與資安顧問團隊Unit 42以勒索軟體Black Basta的某次攻擊為例說明,就整個過程而言,對方總共花了將近14小時,在最初1.5小時之內,陸續進行散播網路釣魚信、勘察、權限提升與啟動命令與控制伺服器(C2),接著的6.5小時開始搬運資料,之後花了80分鐘修改帳號、130分鐘啟動勒索軟體的準備工作,125分鐘開始部署勒索軟體,建立將近1萬臺節點。
面對這樣快速的行動,Unit 42根據本身的事故調查資料指出,防守方目前無法趕上攻擊方的速度。
攻擊者外洩資料的動機有很多種,為了勒索而發起的活動並非速度最快的資料外洩事故類型,Unit42發現在一些不涉及勒索的資料外洩事故當中,攻擊者能在幾個小時完成這些工作。為何會如此?不可諱言,有些案例的攻擊者主要目的就是資料外洩,因為越快完成任務,就能越快賺到更多錢,相對地,防守方能夠阻擋攻勢的時間也越來越少,處於這樣日益嚴峻的態勢之下,當許多企業與組織察覺遭到滲透、開始應變,以及法務部門組成應變團隊之前,資料外洩活動可能正在進行、甚至已經完成。
資料外洩動作加快是否還有其他原因?Palo Alto Networks今年2月發布的2024 Unit 42 Incident Response Report指出,過去幾年的資料外洩事故有個明顯特色,那就是攻擊者採取「拿了就走(grab-and-go)」的策略,牽涉資安威脅外洩資料的事故,大部分都是「能找到多少就帶走多少」,而非「仔細尋找特定資訊,再帶走這些資訊」,隨著這類行動的增加與趨勢的持續,也印證取走資料的速度與規模,比起鎖定目標的資料竊取更被看重,因為攻擊者會盡快搜刮、搬運所有能到手的資料,後續再分類,在某些事故當中,資料竊取會在濫用漏洞時,同步自動進行,此舉並不新奇、也符合以往作法,因為在更先前的網路攻擊流程中,同樣傾向在早期階段外洩資料。
軟體漏洞2023年躍升為頭號初期入侵管道
第三是濫用資安漏洞,當安全性漏洞被發現與公開揭露之後,無論是攻擊方或防守方,都需要一些時間建立對應的發動與處理程序,然後在企業與組織的基礎設施或系統使用。
對於網路犯罪份子而言,兩三年前這類活動的進行需要耗費9個星期,現在1個星期就能辦到,2026年以後,有了AI的幫忙,在漏洞發布後的1個小時內,就能夠爆發這樣的攻擊行動。這也意味著,單一漏洞發布與鎖定目標濫用漏洞的時間差,將會因此大幅縮短。
值得注意的是,單就初期入侵管道(Initial Access Vectors)類型而言,暴露在網際網路環境的軟體系統漏洞(internet-facing vulnerabilities)在2023年升格至第一名,根據Unit 42的資安事故應變案件統計,這一年的軟體或API漏洞占比高達39%,一舉超越社交工程(網路釣魚)——在2021、2022年均為33%,名列第二,2023年減至17%。至於外洩的帳號密碼,在初期入侵管道的運用比例節節高升,從4.1%、12.9%,2023年增長至5倍(20.5%),僅次於軟體或API漏洞。
2023年軟體漏洞濫用之所以大幅增加,Palo Alto Networks今年2月發布的2024 Unit 42 Incident Response Report指出,可能與多起橫掃網際網路的大型自動化攻擊行動有關,網站應用程式與暴露在網際網路的軟體系統的漏洞濫用,正是這些惡意威脅的最大動能,Unit 42根據本身收集的2023年份資料集,整理出5個最常遭到濫用的漏洞,依序為:Citrix NetScaler ADC/Gateway的CVE-2023-3519、SugarCRM的CVE-2023-22952、Apache Log4j的CVE-2021-44228、MOVEit的CVE-2023-34362、Oracle WebLogic的CVE-2020-14882。
而在今年8月發布的勒索軟體2024年上半回顧報告,Unit 42列出攻擊者認為最有利可圖的7個已知漏洞,分別是:Fortinet SSL VPN的CVE-2018-13379,ConnectWise ScreenConnect的CVE-2024-1709、CVE-2024-1708,TeamCity的CVE-2024-27198,PHP-CGI指令碼引擎的CVE-2024-4577,Netlogon Remote Protocol的CVE-2020-1472,Microsoft Windows Error Reporting Service的CVE-2024-26169。
該如何緩解這樣的威脅?Unit 42建議,透過漏洞修補提高網路衛生、縮減暴露在外的攻擊面,這些工作的持續推動與落實仍然很重要,但對於大型企業與組織而言,也還是難題,而且,處理動作要快!
AI可加快攻擊速度、建立攻擊管道,以及擴充攻擊規模
關於網路犯罪分子運用AI加速攻擊的方式,Vishal Lanjekar表示,攻擊者也在AI領域不斷演進,組建他們專屬的AI模型與AI工具,他也向在場參與者簡介與展示暗網可買到的FraudGPT、WormGPT。
以FraudGPT為例,提供服務訂閱計畫的選擇,費用最低89.99歐元起算,最高為2,000歐元。買家可用AI工具鎖定特定漏洞與目標、撰寫惡意程式碼、建立網路釣魚頁面、橫跨大型CVE弱點資料持續在網路掃描100天,甚至基於詐騙角度而來的各種技術,換言之,任何人都能藉此建立難以被偵測的惡意軟體。
至於另一個WormGPT,號稱能幫忙濫用目標環境的漏洞,或滲透至社交網站的帳號,也能提供濫用物聯網設備漏洞、攻入物聯網設備的方法。
在此同時,還有其他可輔助發動攻擊的AI平臺,這些都因為能提供AI助手而成,而且還在持續發展,操作介面也和其他生成式AI非常相似,用戶要做的就是提問,之後會得到很詳細的資訊。Vishal Lanjekar預期此類AI成長速度是非常快的,未來攻擊時間可能會縮短到幾分鐘。
而在深偽(Deepfake)詐騙活動的部份,Vishal Lanjekar提到這種AI影像與聲音變造伎倆,可被用於建立銀行詐騙帳號、繞過金融機構實施的KYC(Know Your Customer)客戶身分認證程序,並在介紹形成訂閱服務型態的AI資安威脅Deepfake as Service,談到熱門的AI變臉工具Swapface遭到濫用。他也以駭客組織Muddled Libra為例,說明攻擊者利用社交媒體的影片訓練AI模型,而在調查該組織活動的過程中,他們發現裡面也運用AI學習受害者的聲音,以此欺騙其他人。
根據Incident Response Report 2024報告所言,Unit42認為現階段對於攻擊者而言,用於製作惡意軟體時,與AI合作的實用性遠高於單靠AI生成,攻擊者可能用AI幫忙開發惡意軟體的特定功能,透過具有相關知識與經驗的人員操作,能以更快速度、更低成本的方式開發惡意軟體的各種變形。
例如,透過AI對話機器人的幫忙,攻擊者可以編出更逼真的假履歷,以及錯字、溝通破綻更不明顯的工作電子郵件;透過AI生成的深偽圖片、影片、聲音,能用於製作假訊息或宣傳活動。
此外,攻擊者可運用AI快速循環使用多種攻擊管道,以找出更有效益的侵入方法(更快、更便宜),而能同時發動鎖定多個弱點進行濫用的大量攻擊;到了漏洞濫用行動後期(post-exploitation activities),AI也能幫忙加速內部環境的橫向移動與勘察。
熱門新聞
2024-11-29
2024-12-02
2024-11-30
2024-11-29
2024-11-29
2024-11-29
2024-11-29