近幾個月,國際新聞接連揭露重大資料外洩事件,全球知名的酒店集團萬豪國際(Marriott),於2016年收購取得的喜達屋(Starwood)連鎖飯店系統遭駭客入侵,竊取大約5億筆客戶資料,其中有3.72億筆為機敏個資;日前香港國泰航空則是自行揭露已有940萬名乘客的個人資料外洩。
為什麼這些國際級大型企業,擁有充沛IT資源卻仍舊無法避免發生資料外洩事件?星盾科技(ForceShield)創辦人暨技術長林育民指出,據統計95%的網路攻擊活動發起目的都是為了金錢利益,盜取的個資可販售牟利,而像過去電影劇情中,駭客攻擊都是由技術高手親自動手執行,「那已經是農業世代的作法,現代駭客攻擊早就已經進化到工業化世代」,九成以上是透過自動化執行程序來發動,甚至知名電商、航空公司、旅行社等網站,總流量中有99%是自動化工具所產生。
此外,過去駭客組織是滲透感染桌機、筆電來發動,如今的目標則是轉向數量龐大,且絕大多數尚未建立保護機制的連網設備,對於攻擊者而言,可大幅降低滲透入侵的成本即能取得控制權,利用連網裝置對外發動攻擊活動。
自動攻擊機器人跨平台演進
如今網路上充斥著自動化機器人,實際上可說是攻擊手法演進的結果。惡意程式感染電腦最早出現於1990年代,自2000年以後開始利用合法的無介面(Headless)瀏覽器、PhantomJS等程式碼引擎,藉此注入執行攻擊。技術發展到2013年後,出現Sikuli等前端自動化測試工具,用以設計模擬人的操作行為,使得攻擊手法也持續進化,不僅滲透網站來竊取機敏資料,攻擊程式碼亦植入於App,讓行動裝置成為跳板。
隨著物聯網發展,連網裝置亦成為駭客覬覦的標的,例如Linux.Aidra等嵌入式系統的惡意程式崛起,直到2016年的Mirai集結殭屍裝置,創下Tbps等級的DDoS攻擊流量,才讓大眾體認到自動化機器人攻擊問題的嚴重性。林育民指出,日前發生的萬豪酒店集團與Dunkin Donuts顧客資料外洩事件,皆是遭受憑證填充(Credential Stuffing,又稱「撞庫」)攻擊所導致。簡單而言,是透過猜密碼方式來執行,但並非採以傳統的暴力破解,現代手法是基於購買或竊取的個資、帳密,到其他網站上進行嘗試登入,如此一來,從登入頻率規則、特徵碼等偵測機制也無法查探到合法行徑的異常。
現階段連網裝置可說是資安最脆弱的環節。美國消費者保護組織ConsumerGram分析,在186台路由器中,居然有高達83%存在已知型漏洞,也難怪連網裝置成為攻擊者搶佔的地盤,圖謀模仿知名的Mirai,以家用路由器、網路攝影機為跳板發動攻擊。近期GhostDNS惡意軟體便是攻擊家用路由器韌體漏洞,造成劫持超過十萬台的事件,竄改DNS網域名稱解析設定,把用戶存取目的地位址指向釣魚網站。
「我們發現,駭客不只是劫持路由器對外發動攻擊,更嚴重的是VPNFilter惡意軟體會在成功感染路由器之後進行監聽,從網路傳輸封包中取得使用者帳密。若路由器是部署在公共網路環境,則更可監聽SCADA系統環境中的傳輸封包,由此可得知,VPNFilter惡意軟體已再進化,攻擊程式開始具備跨平台能力。」林育民說。跨平台能力不僅可攻擊路由器後端連網裝置,同時也可運用挖礦劫持方式,趁使用者連線上網時,在封包中注入惡意JavaScript執行高運算程序。
FIDO聯盟身分識別產業接受度提升
 |
| ▲星盾科技(ForceShield)創辦人暨技術長林育民認為,物聯網裝置的安全責任主要在於製造商,於產品研發時就必須顧及安全性,同時要有協助用戶執行檢查的機制,針對不安全設定提出告警。 |
近年來網站系統大量運用API介接整合,潛在的漏洞也開始被揭露。林育民說明,前述的攻擊手法,主要是自動化機器人設計模擬人的行為執行攻擊,隨著現今手機App主要透過API介接後端應用系統來提供服務,對攻擊者而言更具吸引力,因為API介接交換的資料已正規化,無需再進行網頁分析即可取得有價值的內容。例如日前知名的Krebs On Security部落格指出美國郵政署(US Post Service)網站API出現漏洞,可能暴露6千萬筆用戶資料。
即便是資安意識較高的歐美地區,不論是大型企業、政府組織,皆難以保證對外網站毫無漏洞,也無怪乎世界經濟論壇發表的報告中提及,網路攻擊威脅已被視為數位化經濟發展中最大風險。如今已是數位為王的時代,不同網站皆可註冊登入帳密,為了確保安全性,必須設置各自獨立的帳密,以免遭受憑證填充攻擊成功。因此近來的驗證機制發展趨勢是逐漸走向無密碼式線上身分識別,主要是以2012年成立的FIDO聯盟所提出的標準為產業共識。
「事實上,Google大約從2009年開始,公司內部網路就採用隨身碟為Token實體載具,讓員工不需輸入帳密即可登入系統,同時兼顧便利性與安全性。日前宣布推出Titan實體金鑰產品,可用以解決使用者習慣在不同網站註冊時設定同一組密碼的問題,再加上FIDO標準發展下,Chrome等主流瀏覽器已內建,可便於整合應用,有助於提升接受度。」林育民說。
連網裝置納入MTD技術防範攻擊
連網裝置會持續成為攻擊者覬覦的標的,並且藉此大幅提升威脅擴散速度,幾乎已毋庸置疑。問題是,絕大多數的連網裝置製造商仍未意識到嚴重程度,甚至認為強化安全控管能力為加重成本支出,因此近年來各國皆在積極研擬強制性規範,以免過多連網裝置遭駭客組織利用,恐帶來國安等級的危害。
「現階段腳步較快的是美國加州議會通過物聯網裝置資訊隱私法案,預計2020年1月開始實施。台灣的資通安全管理法已三讀通過,針對網路攝影機也已提出產業標準與檢測規範,至於物聯網相關的規範與檢測也正在制定中,比較可惜的是,舊設備未必可得到相關保護。」林育民觀察。
為了協助企業落實建立安全機制,星盾科技先前推出動態幻象(Moving Target Defense,MTD)技術,針對物聯網應用推出DeviceShield,可直接嵌入韌體系統保護來自前端操作介面的攻擊手法。緊接著在2019年年初,再進一步推出GatewayShield,為現已部署建置的連網裝置增添安全保護機制。
林育民說明,其整體運作邏輯關鍵在前端的第一道防線採用動態幻象技術,主動阻止攻擊活動發生,而非仰賴蒐集大數據後運行分析才得以辨識。之後再運用終端感知能力輔助判斷,針對保護的網站插入JavaScript,取回前端的環境資訊,經過比對判斷為已知惡意行為,立即可執行阻擋,至於高度模擬真人行為的操作手法,則交由人工智慧輔助判別,經過一段時間學習後建立分析模型。