「每天都有很多的資安威脅正在發生,像是資料外洩、軟體漏洞、後門木馬、APT行動、勒索軟體或組織犯罪。」趨勢科技核心技術部資深協理張裕敏開宗明義地說明,企業可能面臨到的駭客攻擊手法。
張裕敏提出資安的四大討論核心,包含存在已久的產業資安問題,例如「勒索軟體」、「開放原始碼引發的漏洞問題」,以及未來隱藏最多資安風險的新興科技領域,分別是「元宇宙」與「電動車」。
過去存在已久的資安威脅:勒索軟體、開放原始碼引發的漏洞問題
「勒索軟體一直是企業和組織最頭痛的威脅之一。」張裕敏首先指出,根據趨勢科技在今(2022)年發布的調查報告,過去3年以來,累積將近70%的企業曾經遭受勒索軟體的攻擊。
張裕敏認為,「勒索軟體」的資安問題在短期內依舊嚴重,並預期駭客除了持續透過社交工程、網站、漏洞進行攻擊外,還將尋找合法軟體更新管道攻入企業(software supply chain attack),以竊取重要機密與存取權限來獲取高額贖金。
面對駭客的無情勒索,張裕敏給予企業主相關建議,「請堅持不要付贖金,我們看到台灣的廠商願意付錢的比例超高,但事實上,駭客的行動只會變本加厲,公司的資料也不一定救得回來。」他認為正確的處理方式是盡快尋求資安公司解密、進行資料外洩後的損害控制,以及全面更新內部的帳密認證。
「(企業)有必要釐清與阻斷駭客的攻擊路徑,負責內部資料管理的AD(Active Directory)/AAD(Azure Active Directory)機制也要重新設定,」張裕敏補充說道。
第二項資安威脅,源自於開放原始碼(open source)所造成的漏洞問題。張裕敏指出,開放原始碼為企業應用發展帶來靈活與擴充性的優勢,但開發者對於開放原始碼層層函數庫的引用與依賴,亦使其成為駭客絕佳的攻擊溫床。
以去(2021)年年底爆發的Apache Log4j資安漏洞事件為例,當時的駭客利用Log4j存在的Log4Shell安全漏洞,惡意侵入蘋果iCloud、微軟Minecraft、Steam與Twitter等網站,並且遠端植入惡意軟體、竄改內部資料,最終點燃企業對開放原始碼安全性的重視。他補充,除了Log4j,其他如Apache Tomcat、WordPress、npm、Python等開源軟體也都存在或多或少的資安威脅。
「Open source號稱程式碼開放、有漏洞就可以被檢測到,但實際上並沒有太多的專家有空檢驗漏洞,除了駭客。」張裕敏直指痛點所在,當開源軟體的某個環節被駭客「加料」,理論上多數人都沒有能力加以檢驗或追查。
對此,他呼籲企業經營者必須定期檢驗以下三個問題,分別是:「企業內部到底用了多少開源軟體(軟體資產盤點)」、「企業內的開源軟體存在哪些弱點(弱點管理與稽核)」、「是否有建置軟體物料清單(SBOM)以縮短修補應變時間(弱點處置)」。
未來駭客瞄準的攻擊目標:元宇宙、電動車
除了目前常見的資安威脅,黑帽駭客已經在「元宇宙」與「電動車」等兩大新興科技領域伺機而動。
張裕敏預估,駭客會將過去20年在Web 2的攻擊經驗複製到元宇宙之中。而Web 3世界可能會遇到的資安威脅,包含NFT交易平台、QR code、熱錢包都有機會被駭客滲入,「元宇宙多了哪些新技術,駭客就會發展出多少侵入問題」。舉例來說,AI偵測技術必然衍生出深偽問題(Deepfake),或者虛擬貨幣交易必須面對金融犯罪風險。
另外是充滿話題性的「電動車」。張裕敏不僅僅是趨勢科技技術部的協理,同時也是車用資安公司VicOne的威脅研究副總裁,他認為「車聯網(Vehicle-to-Everything, V2X)」將成為駭客集團大力發動攻擊的目標,「透過鎖定工廠或研發單位,預先把惡意程式埋進原始碼或公版程式內,等待惡意韌體版本部署到車子後在合適時機喚醒,不論針對車內娛樂系統、導航或是遠端入侵自動駕駛系統,都將對行車及人身安全造成重大影響。」
張裕敏表示,舉凡煞車系統、車門、各處裝置感測器的地方都是駭客可以攻擊的目標。以今年2月份發生的資安事件為例,日本汽車大廠「豐田(TOYOTA)」因合作廠商遭受駭客網路攻擊,零件供應系統被迫關閉,導致業務往來全面停擺。
責任編輯:錢玉紘
