當全球產業渴望借助物聯網(IoT)、人工智慧(AI)等科技建構新世代的數位營運模式之際,惡意駭客也可能悄無聲息地潛伏進入應用場域,伺機橫向移動擴大感染範圍,進而控制關鍵應用系統,抑或是盜取機敏資產,再觸發加密勒索軟體執行,逼迫企業不堪營運遭到中斷而願意支付贖金,讓整起攻擊活動獲得最大化非法利益。
!此為分頁標誌前台不顯示!
有能力迴避資安偵測可說是現代化攻擊活動重要特徵,NEITHNET為了強化網路環境能見度,透過NEITHViewer以非入侵方式蒐集傳輸流量,運用深度封包解析擷取內容,進而基於NEITHInsight精準的情資運行分析判讀,最終結果回饋到資安設備或SIEM平台,讓惡意行為得以即時被發現,藉此幫助企業增添主動式防禦。
攻擊者之所以鎖定特定企業或組織發動APT活動,通常是事前經過大規模掃描弱點時發現有機可趁的應用系統、設備等,而企業建立主動防禦的首要任務即是避免成為被鎖定的標的。其次是萬一攻擊者利用釣魚郵件直接滲透員工電腦,NEITHInsight情資輔助亦可偵測發現惡意程式回呼(Callback)連線到中繼站的行為,觸發資安政策逕行阻斷,讓攻擊者無法遠端派送指令進行橫向擴散。
林岳鋒指出,NEITHCyber實驗室近期統計台灣網路攻擊活動狀態,發現10001、445連接埠遭受掃描頻率最高,其次是6379、2376,追蹤發現6379為REDIS伺服器預設連接埠,2376與2375則為Docker系統。他提醒,掃描頻率增加,意味著攻擊者可能準備發動零時差攻擊,正在趁全新漏洞尚未被修補前,擴大尋找運行相關系統的標的,IT管理者須得多加留意。
此外,在地化情資更有助於辨識刁鑽的滲透手法,NEITHCyber實驗室從2020年開始追蹤至今的Telegram中文化釣魚網站即為典型案例,累計可變換超過10個不同網域名稱,即便是國際大廠的情資資料庫也難以精準判別中文化真偽。再加上攻擊者為了擴大感染,Telegram釣魚網站甚至訂購Google搜尋引擎廣告,當用戶輸入「Telegram中文化」關鍵字,第一則即為該釣魚網站,如此一來,用戶自然相信為官方網站釋出的中文化套件。攻擊者成功進入內網後,低調隱匿以免被偵測發現,若非NEITHInsight輔助辨識,諸如此類惡意程式活動恐難以及早被發現,正是在地化情資關鍵優勢之所在。