全球2014年爆發多起嚴重資安事件,資料外洩數量創下新高,根據Gemalto公布資料顯示,2014年總計發生1,500次以上的重大資料外洩事件,共有超過10億筆的資料外洩,有鑑於此,不少資安專家早在2014年底便提出警告,2015年恐怕會有更多令人吃驚的資安事件會發生。
果不其然,一向被認為擁有嚴密防禦機制的美國聯邦人事總局(Office of Personnel Management),便在2015年7月爆發遭到駭客連續兩次入侵事件,第一次有多達420萬筆公務人員的個資遭竊,至於第二次外洩個資更高達2千多萬筆,包括聯邦人員及一般民眾的健康及財務狀況,以及家人朋友的資料等等。
另一個的驚人資安事件,則是專門協助各國政府執行監控任務並開發間諜軟體的義大利公司Hacking Team,同樣在2015年7月爆發遭駭客入侵的事件,有高達400GB機密資料被竊取,資料範圍涵蓋內部機密文件、各種程式碼與電子郵件等,對全球影響程度原比一般商業組織外洩要嚴重。
 |
| ▲趨勢科技發現,由台灣企業遭受APT攻擊被發現時間,到可追溯的最早駭客足跡發生點,惡意程式平均攻擊潛伏時間達到559天,某些極端案例潛伏時間甚至超過2,000天。 |
台灣駭客年會HITCON CTF領隊與競賽負責人李倫銓指出,連全球最大駭客組織都會被其他駭客入侵,代表世界上沒有絕對安全的資安防護架構。而且當高達400GB的機密資料外流之後,許多先進監控與入侵手法也隨之曝光,預計地下駭客至少可以提升兩年的功力,意味著企業或政府日後將會面臨更嚴重的資安威脅。
亞洲資安威脅升高 台灣無法倖免
回顧20年來資安防禦機制的發展方向,多半都是在駭客採取新攻擊手法後,業界再推出相對應的解決方案,進而協助資安人員建構資安防護平台。正因為如此,現今企業內部都存在各種資安設備,除了常見的防毒軟體、防火牆之外,預算充裕的大型企業還會進一步添購入侵偵測、入侵防禦、次世代防火牆等,只是仍然無法百分百阻擋資安威脅。
在道高一尺、魔高一丈的千古定律下,一旦企業或政府單位被駭客組織鎖定,或多或少都會受到資安威脅影響,如南韓政府、美國零售商Target等等,均是在縝密規劃下遭受APT手法攻擊。其中,Target有高達4,000萬筆資料遭到竊取,不僅商譽損失難以估計,還得面對日後龐大的客戶權益訴訟,資訊長、執行長更因此而下台負責。
隨著全球經濟逐漸往亞洲移動,亞洲企業遭受駭客組織攻擊的事件也逐漸增加,如香港兩大銀行中銀及東亞銀行的網站,便在2015年5月遭到DDoS攻擊,首度出現被駭客勒索比特幣的事件。中國最大旅遊網站亦在2015年5月28日遭到攻擊,導致網站服務和App伺服器均出現系統故障,所有線上服務當機時間長達12小時,損失超過6,420萬台幣。
 |
| ▲ 根據趨勢科技白皮書研究報告,RTF和DOC檔案是最常被使用於APT攻擊的電子郵件附件檔案,是因為Microsoft Word在任何企業及機構都會用到。 |
而表面上看起來較為平靜的台灣,也在2015年爆發反黑箱課綱事件時,遭到匿名者亞洲支部發動的攻擊,台灣許多政府網站包括教育部、總統府網站、國防部、經濟部等等,網站都出現當機或者網頁被置換狀況,台灣證券交易所甚至也一度被列為攻擊目標,所幸最後沒有嚴重災情產生。上述狀況顯示,即便長年與中國駭客鬥法的台灣政府,也無法完全杜絕資安狀況發生,若駭客採取DDoS搭配APT攻擊手法,便可能造成台灣政府機關的巨大災情。
美商Fortinet台灣區技術顧問劉乙表示:「企業若只是遭受DDoS攻擊,頂多是應用服務被癱瘓,並不會發生機密資料外洩的事件。但駭客組織亦可能先利用DDoS癱瘓伺服器或資安設備發生當機,再伺機進入企業內部網路,達成竊取機密資料的目的。」
APT威脅潛伏長 企業渾然不知
由於台灣企業規模多屬並非「肥羊」的中小企業,所以不少人以為台灣遭受駭客組織攻擊的頻率並不高,實際上這種想法完全錯誤。根據FireEye公佈的調查結果發現,中國駭客早已把台灣當作攻擊試驗場,光是2014下半年亞洲區域發生的APT攻擊事件中,台灣被攻擊比例即佔54%,遠比其他亞洲國家更為嚴重,從2014年第三季到第四季,台灣遭到的APT攻擊次數成長了26.4%。
而長年協助企業處理資安事件的趨勢科技,也公佈近兩年的統計資料,光是2013年至2015年7月共計進行376次事件處理專案, 共計調查了1,997台受害主機,分別為1,216台伺服器與781台用戶端電腦。結果發現,由攻擊被察覺的日期,到可追溯的最早駭客足跡發生點,惡意程式平均攻擊潛伏時間達到559天,某些極端案例潛伏時間甚至超過2,000天。
趨勢科技表示,APT攻擊最可怕之處,在於惡意程式透過相互掩護的作法,如透過社群網站、電子郵件入侵用戶端電腦,以便躲過資安設備檢查。當順利入侵之後,便可利用多數企業缺乏內部網路資安監控的架構,利用各種應用程式的漏洞,持續將機密資料傳送到C&C伺服器中,以平均潛伏期長達18個月來計算,駭客組織藉此得到的金錢利益恐怕超過多數人想像。
積極更新軟體漏洞 降低資安威脅風險
目前全球資安威脅發展的狀況,駭客組織多半都是利用零時差漏洞發動APT攻擊,這部分也包括經過長期驗證的漏洞,如Windows Common Controls(通用控制項)當中的CVE-2012-0518漏洞,便是一個非常典型的例子。另外一個著名的漏洞,即是為人詬病的Adobe Flash漏洞,由於缺少自動化的補丁程式,若消費者未能即時更新軟體,將會導致Adobe Flash漏洞攻擊的情況日益增加。根據國際安全組織CVE的系統報告指出,2014年Adobe Flash Player漏洞數量增加了66%,預計2015年CVE報告的Flash漏洞數量將再創新高。
在先進威脅攻擊無法完全杜絕的狀況下,駭客更會執行某些動作來讓資安人員的因應措施,以及其他駭客企圖霸占的行為無法成功,以維持既得的非法利益,Gartnet建議企業用戶採取Predictive、Preventive、Detective、Retrospective等四種作法,並且重複執行,才能盡早揪出躲藏於企業內部中的惡意程式。