2018網路安全報告出爐　資安威脅走勢出人意料

對於看似遙遠的攻擊行動漠不關心，或是將注意力消耗在攻擊者每天製造的小衝突和混亂當中，無疑給了駭客以及惡意行動者不斷累積和精進網路武器的機會。

思科威脅研究人員和技術合作夥伴在過去12至18個月觀察到許多攻擊趨勢，包含惡意軟體依然到處肆虐，但關注的焦點不再是贖金而是刪除資料。隨著加密全球網路流量的數量成長，網路犯罪分子採用C2通道，利用合法的網際網路服務來進行其犯罪，使得惡意軟體流量更加無從辨識。並且，也開發出能夠規避日益複雜沙箱環境的威脅。

除此之外，從單一網域發動多起攻擊行動，並且重複使用基礎架構資源，例如註冊者的電子郵件地址、自治系統號碼（ASN）以及名稱伺服器；防禦者忙於盡速部署物聯網（IoT）裝置，卻鮮少注意系統的安全性，而缺乏修補和監控的物聯網裝置讓攻擊者有機會滲透網路。

在《思科2018年度網路安全報告》中也根據這些觀察與分析，探討多項主題，並且發現網路犯罪的行為與攻擊主要圍繞在下列三個主軸：

1. 惡意人士正在將惡意軟體帶往前所未見的複雜程度及重大影響。

2. 惡意人士變得越來越擅長規避，並且能將雲端服務及其他合法用途的技術，用來作為他們的武器。

3. 惡意人士會入侵欠缺安全防備的漏洞，而其中許多都來自於不斷擴展的物聯網及雲端服務的使用。

接下來，分別就惡意軟體的演變、加密的惡意網路流量、電子郵件威脅、沙箱規避策略、濫用雲端服務和其他合法資源、物聯網與DDoS攻擊以及漏洞和修補進行說明。

惡意軟體的演變

勒索軟體在2017年便已達到一個新層級，令各界感到猝不及防。2017年5月，WannaCry勒索軟體加密蠕蟲病毒出現，像野火一般在網際網路上到處肆虐，它利用了Microsoft Windows一個名為「永恆之藍」（EternalBlue）的資安漏洞自我散布。由於WannaCry做為勒索軟體的效能很低，許多資安人員認為，勒索元件實際上只是一個煙霧彈，WannaCry的真實目的其實是清除資料。

同年6月Nyetya（又稱為NotPetya）出現，這個清除型惡意軟體也偽裝成勒索軟體，並且也使用了同樣是經由影子掮客洩漏的遠端代碼執行漏洞「永恆之藍」（EternalBlue）和「永恆浪漫」（EternalRomance），以及其他與影子掮客無關的攻擊向量來進行入侵。Nyetya是透過軟體更新系統部署，所針對的是一套在烏克蘭有超過80%的公司使用的稅務套裝軟體，經烏克蘭網路警察證實，Nyetya影響了烏克蘭兩千多家公司。

在自我散布的勒索軟體興起之前，惡意軟體以三種方式傳播，包含硬碟機下載、電子郵件或實體的媒體（例如惡意的USB記憶體裝置），所有的方法都需要經由某種人為互動，才能讓勒索軟體感染裝置或系統。使用這些由攻擊者部署的新媒體，只需要一台未經修補的運作中工作站，即可發動網路型勒索軟體的攻擊。

資安專業人員可能會將蠕蟲病毒視為「舊」類型的威脅，因為隨著產品安全基線的提高，類似於蠕蟲病毒的「常見漏洞及曝光」（CVE）之數量已有所下降。然而，根據思科威脅研究人員所言，自我散布惡意軟體不僅是一個相關的威脅，甚至可能摧毀網際網路。WannaCry和Nyetya只不過是風雨欲來前的微小徵兆，防禦者應該及早做好準備。

Nyetya攻擊事件也是一個供應鏈攻擊，思科威脅研究人員在2017年已觀察到多起類似事件。Nyetya能如此迅速地成功感染那麼多機器的原因之一，是使用者沒有將自動軟體更新視為安全風險，有時候甚至認為收到的是惡意更新。

供應鏈攻擊的速度和複雜性似乎在日益增加。這些攻擊可能大規模地影響電腦，並且可能持續數月甚至數年之久。防禦者應該知道，使用的軟體或硬體如果是來自對自身安全性態勢不甚負責的組織，就可能具有潛在風險。建議防禦者尋找發布CVE的廠商，迅速解決漏洞，並持續努力確保其建置系統不會遭到入侵。另外，使用者在下載新軟體之前應該花時間進行掃描，確認其未包含惡意軟體。

不受全面安全性做法支援的軟體網路分割，將有助於控制供應鏈攻擊的破壞，避免在整個組織內傳播。

加密的惡意網路流量

截至2017年10月為止，全球網路流量有50%受到加密。這與2016年11月的數量相比已提高12個百分點（圖1）。造成這個成長的因素之一，就是低成本或免費SSL憑證的可用性。另一個因素就是Google Chrome加強了對未加密網站進行標記的做法，將這些處理敏感資訊（例如客戶的信用卡資訊）的網站標記為「不安全」。此舉促使企業開始遵循Google的HTTPS加密要求；因為如果不這麼做，他們在Google搜尋頁面的排行就可能會大幅下降。

▲圖1 全球加密網路流量的增加。（資料來源：思科資安研究部門）