| 預測新型「摧毀服務」攻擊

資安威脅的規模與影響與日俱增

活動時間:2017-09-08 11:22 - 2018-02-28 11:22



預測新型「摧毀服務」攻擊 資安威脅的規模與影響與日俱增

《思科 2017年中網路安全報告》揭露快速演進的資安威脅與不斷擴大規模的攻擊,並預測潛在的「摧毀服務(Destruction of Service,DeOS)」將會竄起。DeOS攻擊能夠徹底崩潰組織的備援與安全網,以致在受到攻擊後無法回復系統與資料。隨著物聯網的興起,關鍵產業將更多營運業務移到網際網路上,促使攻擊的接觸點變得更廣大,而這些攻擊的潛在規模與影響也持續提高。 

近期攻擊事件如WannaCry與Nyetya顯露出快速散播與衝擊層面的廣泛,表面上它們看似傳統的勒索軟體,但實際上它們更具破壞性。思科稱之為「摧毀服務」攻擊,相比傳統網路攻擊,它們可帶來更嚴重的破壞,讓企業完全無法復原。 

另外,物聯網持續為這些網路犯罪者提供新的機會,而潛伏其中的許多資安弱點會逐漸被發掘,促使未來更多新型的攻擊手法產生,造成越來越嚴重的影響。最近出現的物聯網僵屍網路(Botnet)已反映出有些攻擊者可能預先打好基礎,伺機發動大規模高影響的攻擊,甚至對整個網際網路造成破壞。 

面對這些攻擊,衡量資安措施的成效至關重要。思科持續追蹤「威脅偵測時間(Time-to-Detection,TTD)的發展,TTD是指網路受到入侵和偵測該威脅之間的時間窗口。更快的TTD能有效限制攻擊者的操作空間,並減少入侵造成的損害。思科在2016年11月到2017年5月這段時間內,就將TTD的中位數從超過39小時縮短至3.5小時。這是收集自思科部署在全球的網路安全產品而用戶自願提供的遙測數據。

威脅現況 – 盛行與消聲匿跡的攻擊
思科資安研究人員於2017上半年間觀察了惡意程式的演化,發現攻擊者正著手調整其傳遞、迷惑辨識機制、以及規避步驟的技巧。尤其思科觀察到越來越多攻擊者要求受害者點擊連結或開啟檔案來啟動威脅。此外,攻擊者正在發展完全潛伏在記憶體內的無檔案惡意軟體,由於它們在每次重新開機時就會被完全抹除,因此極難偵測或調查。此外,他們還會依賴匿名與分散化的基礎設施,像是Tor代理伺服器服務,藉以藏匿其指令與控制活動。

儘管思科發現由弱點攻擊套件(exploit kits)所進行的攻擊急速減少,可是其他傳統攻擊手法卻有復甦跡象:
‧ 垃圾郵件數量大幅增加,因為攻擊者轉向其他經嘗試驗證可行的方法,像是電子郵件,藉以散佈惡意程式並從中獲利。這類含有惡意附檔的垃圾郵件未來會不斷增加,而弱點攻擊套件的數量則會繼續上下起伏。 
‧ 間諜程式和廣告軟體經常被資安人員所忽略,因為它們被視為滋擾而非損害,但這類形態的惡意程式持續發生會對企業帶來風險。 
‧ 勒索軟體不斷演進,例如勒索軟體即服務(Ransomware-as-a-Service)的成長,讓任何駭客不論技術高低都有能力發動網路攻擊。最近勒索軟體不斷登上頭版,更有報導指它在2016年為全球造成超過10億美元的損失。但這數字可能對某些組織造成誤導,因為他們面臨的可能是規模更大但卻未被發現的資安威脅。 

各產業的重要發現
‧ 公家機關-在被調查的資安威脅中,32%被確認為真確威脅,但這些威脅中只有47%最終被修復。
‧ 零售業-32%的業者表示過去一年曾經因攻擊事件造成營收損失,另外有大約四分之一的業者流失客戶或業務機會。
‧ 製造業-40%的製造業資安專家表示他們不僅沒有正式的安全策略,也沒有遵循如ISO 27001或NIST 800-53這類標準化的資訊安全攻策。
‧ 公共事業-資安專家指出鎖定目標攻擊(42%)與進階持續性攻擊(Advanced Persistent Threats,APT)(40%)對其組織是最關鍵的資安風險。
‧ 醫療保健-37%的醫療保健機構表示鎖定目標攻擊對其組織產生極高的資安風險 。


企業的建議
‧    定期更新基礎設施與設備應用,使攻擊者無法利用已發佈的安全弱點進行攻擊。
‧    透過整合式防禦來對付複雜的資安環境,並限制孤島式網路安全設備的投資。
‧    及早讓組織高級主管參與資安項目,確保他們全面了解風險、回報及預算限制。
‧    建立明確的指標,並以此來驗證與改進資安措施。
‧    評估及檢視依職務角色的培訓以及單一化課程這兩種方法的成效。
‧    藉由積極的回應來建構均衡防線,千萬不要完成資安控管或程序後便置之不理。

[資料來源]: 思科2017年中網路安全報告