Ransomware APT EPP EDR CSPM Cloud Security Posture Management

針對式攻擊既巧取又豪奪 勒索軟體手法演進變本加厲

地端雲端安全風險各異 善用防護工具免營運損失

2020-02-18
對於現代企業而言,端點安全防護已是資安防禦體系中必備的部署項目之一。隨著攻擊活動的目的趨向追逐更大獲利,近幾年盛行的勒索模式手法持續變換滲透策略,除非資安防禦工事得以因時制宜,否則難以有效地控制營運風險。

 

從國際間持續爆發的資料外洩新聞,以及市場上主流技術供應商發布的2020年度資安趨勢報告來看,在辦公室環境的威脅型態中,勒索病毒幾乎為各家資安廠商一致認同,最具危險性的外部攻擊。趨勢科技台灣區暨香港區總經理洪偉淦觀察,儘管勒索軟體與APT攻擊的因應之道已經探討多年,從2019年實際爆發資安事故的調查報告可發現,愈來愈多受害案例是基於兩種手法混合,複雜度較以往認知更高,各個產業在發展數位化之際,仍必須審慎看待以降低營運風險。

成功獲利助長勒索軟體手法多變

論及資安事件,過去勒索軟體(Ransomware)與APT攻擊涇渭分明,分屬兩種不同議題,如今則常被混合運用,勒索軟體已經演進成常態性工具,在APT攻擊活動中也會被採用。洪偉淦進一步說明,勒索軟體仍舊是攻擊者主要的獲利模式,只是攻擊手法已不再是前幾年常見的無差別式,而是趨向針對性,先行滲透入侵到企業內部,潛伏一段時間後才會發作,只是最後落地的是勒索病毒。

Sophos香港資深技術總監韋頌修說明,以勒索為目的發動的APT攻擊,在滲透入侵成功後會先行潛伏,進而尋找關鍵檔案,例如橫向移動感染伺服器環境後,掌握備份排程的設定,之後執行惡意加密本機與備份檔,讓企業在無法以備份回復的狀況下,支付攻擊者贖金換取解鎖金鑰。近期Sophos揭露的Snatch新型態勒索軟體,即是此類手法的典型範例,不僅有能力以Windows服務的形式安裝於作業系統核心,並且觸發重新開機後自動進入安全模式,呼叫vss.addmin.exe元件刪除所有磁碟區陰影複製服務(Volume Shadow Copy)檔案,讓受害者在惡意加密後沒有機會復原。

事實上,SophosLabs追蹤發現,曾經橫掃台灣企業而聲名大噪的WannaCry勒索軟體,至今依然相當猖獗。WannaCry自2017年襲擊全球各地之後,SophosLabs研究人員在2019年8月份,透過遠距偵測到430萬起WannaCry攻擊行為,涉及6,963支變種程式,而當中5,555款(大約八成)為新發現的檔案。至於散布惡意程式的管道,多數是運用IT管理者日常維運的合法操作,例如遠端遞送執行檔案的PsExec工具,群組原則物件(GPO)、Windows管理規範(WMI)等來進行大規模散播。

勒索病毒之所以持續猖獗,洪偉淦認為,主要因素在於可直接影響生產力,業主願意支付贖金的機會較高;另一方面,攻擊者鎖定目標發動,也可能意在竊取機敏資料,畢竟基於同樣的攻擊成本,不僅可竊取高經濟價值的資料,同時還可發動加密進行勒索,獲取更高額的利益。既然有利可圖,入侵勒索行為不僅難以被消滅,而且還會更加蓬勃發展,不惜採用攻擊成本較高的APT來發動。

端點安全納入EDR資安人員獵捕回應 

就企業端應用來看,洪偉淦觀察,不論資訊科技如何扭轉人們的生活與工作,端點安全防護、端點偵測與回應(EDR)、惡意行為偵測,仍舊是資安防護的核心要項。「或許外界看來,近幾年資安防護意識抬頭,推廣多年的解決方案理應擁有一定程度的普及度,實際上,本土企業導入網路、端點的偵測與回應方案,大約僅不到10%。」

洪偉淦說明,除了預算考量以外,更棘手的是實際導入建置後卻不會操作,無法展現投資價值。偵測與回應工具的設計初衷並非如同傳統防毒軟體,部署完成後系統就會主動攔截惡意程式,畢竟最初研發網路、端點偵測與回應工具,是為了輔助專業資安人員執行事件調查與分析,問題是內部有設立專職資安人力的企業少之又少,除非是金字塔頂端的用戶,具備完整的資安團隊與工具,才可真正發揮功效。

現階段經常爆發資安事件的產業,當屬製造業,由於過去欠缺資安意識,防護能力也較其他產業更為薄弱,攻擊者只要利用釣魚郵件滲透入侵,再發動勒索病毒感染機台系統,若企業的生產停頓損失遠高於贖金,自然會選擇支付了事,以免造成更大的營業損失。「此即為多數本土製造業現況,若非協助進行事後處置,連資安業者也無從得知。」洪偉淦說。

CSPM持續監控雲端安全狀態

另一項值得留意的威脅指標,則是雲端安全問題。根據Gartner預測,全球公共雲服務市場規模將持續增長,從2019年的2,278億美元,到2020年的2,664億美元,成長約為17%。儘管本土企業採用的腳步較慢,正在發展中的數位化應用服務,亦將無法迴避雲端趨勢。

趨勢科技資深技術顧問簡勝財指出,現階段雲端服務的主要問題並非外部威脅入侵,而是錯誤的設定配置導致資料曝光或外流事件,例如未適當設定存取與權限的管控、被忽略的異常登入活動、不經意被公開在網路上的資訊。隨著雲端服務採用比例增長,DevOps開發模式也會逐漸成為主流,潛在的風險亦不可忽視。DevOps精神在於快速開發與版本變更,根據使用者的回饋持續優化,提升用戶體驗。只是要做到快速開發與版本變更,勢必得壓縮到測試時間,增加應用服務資安風險。此外,雲端原生的容器環境、無伺服器(Serverless),抑或是資源調度工具,主要為開源陣營發展的技術,萬一本身就已存在弱點,勢必會被攻擊者利用來執行滲透。例如2019年容器執行元件runC編號CVE-2019-5736的漏洞,一旦未修補遭惡意人士利用,可在容器主機上執行任意命令。

韋頌修認為,IT管理者對於雲端平台的操作介面不夠熟悉,往往是導致參數設定錯誤、機敏資料曝光的主因。隨著企業採用雲端服務的數量逐年增長,為了有效地掌控潛在風險,可視化能力已逐漸成為必要的措施之一。他以客戶實際發生的案例說明,現代開發者的程式碼版本控管系統大多部署在雲端平台,不幸的是該客戶內部開發人員工作用的筆電在家中遭惡意程式感染,攻擊者藉此取得帳密並在雲端平台上啟用多個虛擬主機運行挖礦,客戶直到收到帳單時才發現。

諸如前述的風險勢必得借助工具之力協助進行管控,對此Gartner定義了雲端安全狀態管理(Cloud Security Posture Management,CSPM)市場分類,以持續不斷地為提升雲端安全進行調整與改善,降低攻擊成功的機會。趨勢科技的Cloud One防護平台,以及Sophos最新發布的Cloud Optix,皆屬於此市場範疇,讓IT管理者掌握雲端環境的資源、存取行為等資訊,以識別既定的安全政策與實際安全狀況之間的差距,及時防堵暴露在外的弱點。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!