全球網路攻擊次數再創新高
2022全球網路攻擊次數增高,台灣為全球的三倍
依據國際資安大廠Check Point年初發布的《2022年網路攻擊趨勢》報告指出,2022 年第四季全球網路攻擊量達歷史新高,各組織平均每週遭受 1,168 次網路攻擊,攻擊次數的年增率達38%。其中亞太地區的年增率達22%, 網路攻擊量也高於全球平均,達每週1,691 次攻擊。而台灣更是被網路攻擊的熱點,各組織平均每週遭受高達3,118次攻擊,為全球平均值的三倍,其中遭攻擊次數最多的產業分別為金融與銀行業(達4,664 次)、製造業(3,705 次)及政府與軍事機構(2,884 次)。
台灣企業的網路防禦現況僅達C 級
引用2022年底KPMG畢馬威發表的「2022 年台灣企業資安曝險調查報告」,此調查針對國內六大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創等產業,全面性審視企業目前網路防禦現況是否充足、應變人力是否齊備。報告經抽樣調查60 家台灣企業的平均網路安全曝險防禦僅達C 級(70 ~ 80 分),通常一般的駭客就能入侵,其結果不容樂觀。而從個別產業的表現來看,呈現「二好三壞」的現象,也就是除了金融業、半導體產業的資安防護能量表現尚可之外,其餘產業皆與金融業有著明顯差距;尤其國內製造業主力的電腦與週邊製造及供應鏈核心產業更是敬陪末座,落後於全球平均分數。
駭客近年的網路攻擊對象轉向製造業
2023年的網路安全趨勢不僅是網路攻擊形式的升級,更是對現有網路安全策略的挑戰。人工智慧、區塊鏈、零信任安全等新技術的興起,為網路安全帶來了新的思路和解決方案。但同時,供應鏈安全、物聯網安全、人工智慧安全等新威脅也不斷湧現,給網路安全帶來了巨大的挑戰。為了應對這些威脅,人們需要加強網路安全的防護和應對能力,採用先進的技術和策略來保護網路安全。
尤其是在智慧工廠面臨的資安威脅方面,以往OT(Operation Technology)環境側重在嚴密、封閉式的實體與網路環境管制。可是,隨著產線物聯網設備的普及、5G專網的導入,使原有封閉架構逐漸開放,連接網路的型態也變得更多樣,連接的設備數量愈來愈多且複雜,使得OT資安面臨很大的衝擊。另外智慧工廠對環境干擾要求必須是最小,也就是資安防護作為不能影響營運效能或生產中斷需全天運作,加上工廠的生產設備價格不斐且工業控制系統(Industrial Control System,ICS) 的生命週期也高達15~20年或更久,這些系統在設計製造之初,往往並未將資安需求考量在內,也較少進行更新,因而成為駭客最有機會攻擊的系統。不論是利用系統配置的缺陷,還是軟體或硬體漏洞、供應商與服務提供商的網路釣魚詐騙,都讓智慧製造領域的資安威脅大大升高。
2023網路安全趨勢
2023年除了網路攻擊數量在全球不斷增加,幾種網路威脅形式也同時發生變化。其一,勒索軟體犯罪生態系統隨著規模更小、更靈活的犯罪集團不斷發展而壯大,而區域衝突引發的區域國家型駭客的介入,更讓這些犯罪集團無法可管。其次,駭客正在擴大他們的攻擊目標,如利用網路釣魚漏洞包括 Slack、Teams、OneDrive 和 Google Drive 等業務協作工具,到使用社交工程引入惡意軟體,這不僅對企業和組織的網路安全造成嚴重影響,也會竊取個人使用者的隱私資料。主因在於這些遠距辦公或協作工具中通常包含大量敏感資料及公司營運機密。
勒索軟體利潤可觀,犯罪集團不斷創新
儘管在2021年底,美國為首的歐美國家加強對於勒索軟體和勒索犯罪集團的執法行動,但目前從 2022 年公開披露的攻擊數量來看並未減少,這表明儘管存在潛在風險,勒索犯罪集團仍然認為這些類型的攻擊有利可圖,勒索軟體繼續為犯罪集團賺取巨額利潤。去年 10 月,美國勒索軟體應變處理公司Coveware即整理指出,其當受害企業選擇支付贖金時,平均支付的贖金為達 258,143 美元。另外去年 12 月,美國政府估計一個名為古巴的勒索犯罪集團,已經積累了至少 6,000 萬美元的贖金。但用已知受害者數量來推估,該組織甚至在勒索軟體犯罪集團中還排不到前十名,勒索軟體犯罪利潤可觀。
為了尋求更大的利潤,勒索犯罪集團更不斷創新,包括設計可加密鎖定的惡意軟體,使其附屬機構更容易使用並且可以更快地鎖定系統。而且隨著愈來愈多AI軟體開發工具的導入,勒索軟體的變種格局在 2022 年也發生了顯著變化,軟體變種速度更加快速,例如2022年LockBit 明顯主導了網路勒索犯罪的攻擊,占所有攻擊的 16%,其次是BlackCat,占13%,Hive占12.1%,Conti則占 9.0%。而這些勒索軟體攻擊出現得又急又猛,LockBit 在 2021年幾乎沒有被提及,但在 2022 年增加了 600%。同樣,BlackCat 和 Hive 幾乎聞所未聞,但它們在 2022 年成為排名第二和第三多的變種軟體。
另外還有Lapsus$ 和 Stormous 等犯罪集團也在使用一種新型的商業模式,就是不會加密鎖定檔案的惡意勒索軟體,他們以竊取數據並透過地下論壇或專用數據洩露網站、 Telegram 等管道威脅勒索取財,如有不從就洩露重要數據。
在這類網路犯罪生態系統中還出現了一種稱為IAB「初始訪問代理」的服務提供商,他們不直接攻擊受害者、而是把獲得的受害者的「遠程訪問權限」(簡單說就是帳號密碼等資訊)整理後出售給其他人,尤其是賣給勒索軟體犯罪集團,以方便他們的攻擊;2022年IAB 在主要網路犯罪平台上公開出售的網路訪問權限數量顯著增加,超過 2,200 個報價,累計金額更超過 450 萬美元。而最流行的訪問權限類型包括「遠程桌面協議」、「VPN 憑證」及個人帳號密碼或個人資訊(如去年底在地下論壇出售的台灣2,300萬筆民眾個資),IAB 可算是 2023 年最值得關注的網路威脅之一。
零信任安全逐步落地
今年全球資通安全的趨勢因攻擊的增加,將會更加注重網路攻擊的防範和預防。其中已被關注多年以零信任為核心的安全架構,在去年受到多國政府的大力提倡,也引起企業組織相當的重視,將成為今年的大趨勢之一。傳統的網路安全模式通常是在網路的邊界上設置防禦設備或手段,對進出網路的流量進行檢查,但這種方式已經無法應對現代多樣的網路攻擊。零信任網路架構是打破傳統內外網路的邊界,認為企業和組織不應該直接信任內網的設備,而是不信任任何內、外部的設備、用戶和應用服務,每次的存取都要對人員、設備和應用服務呼叫進行驗證,確保安全訪問和敏感資料不會外洩。零信任架構不僅可以提高安全性,也可以簡化企業和組織的網路架構和管理。因為零信任網路架構通過動態授權、多因素身份驗證、最小權限原則和持續監控等方法,實現對數據和資源的嚴格控制。通過這種方法,企業可以更好地保護其資產不受未經授權的存取,從而降低數據洩漏、盜竊和其他安全威脅的風險,也可以幫助企業在預防、檢測和應對網路攻擊方面更加有效。
2022年1月美國即通過「聯邦零信任戰略」(Federal Zero Trust Strategy)草案,發布M-22-09備忘錄,指示所有聯邦機構網路安全策略都需轉移到零信任架構,並擬訂在2024年底完成初步遷移。該戰略主要聚焦五大面向,包括:身分識別、裝置管理、網路、應用程式與資料。而其他國家,如日本也在2022年6月針對政府資訊系統,發布零信任架構適用方針;新加坡更於2021年發布「網路安全戰略2021」,指出零信任網路安全策略是未來五年發展重點,鼓勵該國關鍵基礎設施業者對重要系統採用零信任架構。
在台灣,去年數位發展部成立之後,即明確指出國內資通安全責任等級為A級的公務機關,在2023年要導入零信任網路架構,並預計在三年內,分階段逐年導入零信任網路的3大核心機制:身分鑑別、設備鑑別,以及信任推斷。因此,2023年的重點將先放在身分鑑別上。而除了A級公務機關,2022年12月底,金融監督管理委員會發布「金融資安行動方案2.0」,提出未來三年推動計畫,其中一項重點,也是鼓勵金融機構依循政府政策,導入零信任。
不只是各國政府積極推動零信任落地,國際科技大廠與資安業者,更是積極邁向零信任架構,如Google、微軟、Akamai、AWS、Cisco、F5、Forescout、IBM、Palo Alto、Okta、SailPoint、Tenable、VMware、Zscaler等。而台灣資安廠商也配合政策的推展,致力於發展零信任相關產品服務,截至去年底,已有五家業者的身分鑑別功能產品,通過政府零信任合規性驗證,包括:全景軟體、偉康科技、來毅數位、台灣網路認證與安碁。
供應鏈風險被製造業視為當前最大威脅
現代化的產品與服務多半必須仰賴連結全球製造商、軟體與服務供應商的供應鏈,由於供應鏈的來源眾多,也將企業及消費者置於風險中,不僅是電子產品可能含有惡意程式或安全漏洞,供應鏈本身的安全漏洞還可能危及企業的營運。例如,當供應鏈遭到勒索軟體攻擊時,製造商可能因缺乏重要元件而停擺;只是因為維護其機房空調的公司得以存取其共享資料而爆發資料外洩事件。例如2022年10月日本豐田汽車就因網站外包商將程式碼不當上傳至GitHub公開儲存庫,而程式碼又不慎夾帶可存取資料庫伺服器的金鑰,因而自網站外洩近30萬名車主資料。
台灣深受地緣政治的影響,無時不面對中國有形的文攻武嚇和無形網路戰爭的威脅,加上疫情與中美貿易戰衝擊,造成全球供應鏈的重組。台灣企業同時面對實體的「短鏈供應策略」與「數位轉型」二大挑戰,為確保供應鏈安全、降低生產危機,並保持企業彈性與韌性。
在全面抵禦供應鏈攻擊的能力提升上,除了美國總統拜登在2021年頒布了改善國家網路安全行政命令EO 14028,把強化軟體供應鏈安全列入十大工作重點,更在2022年由美國國家標準暨技術研究院(NIST)發布軟體開發安全框架(SSDF),引入軟體物料清單(SBOM)來追溯安全性軟體的履歷,以證明該軟體遵循NIST訂定的政府安全軟體開發實務。更在5月更新了《網路安全供應鏈風險管理》(Cybersecurity Supply Chain Risk Management,C-SCRM)指南,以協助那些採購與使用其它技術產品及服務的組織來保護其自身的安全。依循該指南可了解供應鏈可能產生的風險,企業與供應鏈之間的關係,並在企業採購或操作第三方技術時如何確保安全,還能協助企業辨識、評估與應對供應鏈所帶來的網路風險。
而在台灣,政府部門也開始推動軟體供應鏈安全與供應鏈安全的示範案例。如金管會在2022年底公布的金融資安行動方案2.0,將供應鏈風險管理列入督導金融同業工會修訂資安相關規範,執行期限為2024年,將核心資通系統的軟硬體供應商與維運商,以及第三方服務提供者、跨機構合作夥伴的風險評估、邊際防護及委外稽核納入資安管理。
資安技術智慧化與自動化
最近火熱的AI聊天機器人ChatGPT在2022年11月推出,短短兩個月使用者就突破一億人大關。引起各科技巨頭再次將資金投入AI相關的開發。ChatGPT是一款透過自然語言處理(Natural Language Processing)大數據分析模型,當使用者以文字輸入提問或敘述,它會分析文本的意涵,再輸出結果給使用者。除了基本對談和搜尋資料,ChatGPT也具備問答解惑、產生程式碼和除錯,甚至有撰寫論文、小說劇本等能力。使用人工智慧和機器學習來分析和預測網路安全威脅是近年來的重要趨勢,而ChatGPT讓網路攻守雙方運用AI技術愈加普遍,這些技術用於改善威脅檢測和回應時間,以及自動執行重複和耗時的任務,使安全團隊能夠專注於更具戰略性的計畫。應用技術包括:
- 威脅情資預測:AI和ML將用於分析來自各種來源的大量數據,以便在網路攻擊發生之前預測和預防網路攻擊。這將涉及使用來自各種來源的數據,包括使用者行為、網路活動和安全事件,以構建可以識別新出現的威脅和漏洞的模型。
- 自動威脅回應:AI 和 ML 將用於自動回應安全威脅,減少組織回應事件所需的時間,並將攻擊的影響降至最低。這可能包括自動隔離受感染的系統、隔離受感染的帳戶或刪除惡意代碼。
- 詐騙檢測與預防:AI 和 ML 將用於檢測和防止欺詐活動,例如網路釣魚攻擊、帳戶接管嘗試和其他類型的金融犯罪。這將涉及使用來自多個來源的數據,包括用戶行為、交易歷史和網路活動,以構建可以即時識別和防止欺詐活動的模型。
- 安全行為分析:AI和ML將用於分析大量安全數據,以識別使用模式和相關性,從而幫助組織做出更明智的安全決策。這將涉及使用來自多個來源的數據,包括安全日誌、網路活動和用戶行為,以識別可能表明安全威脅的趨勢和異常。
但相同的,駭客也更容易使用人工智慧和機器學習在網路攻擊手法與躲避偵測上,不僅產生變異的惡意程式更為容易且迅速,對於傳統的偵測手法更是可以簡單避過,讓不斷變化的攻擊更具威脅。
法遵與資安韌性為資安長最大任務
在2021年底,金管會公告修正「公開發行公司建立內部控制制度處理準則」(簡稱處理準則)時,將台灣近千家上市公司和近八百家上櫃公司,區分成三個等級,其中,符合第一級規定的企業有113家,都是台灣最賺錢的企業,依法在2022年底前,設立資安長和成立至少兩名資安專責人員的資安專責單位。此外,只要公司有獲利,在2023年底前,都必須依法設立資安長以及設置至少一名資安專責人員。
面對2023年,國內資安的重大趨勢即是如何提供資安長們(CISO)在法規遵循、管理業務,以及資安技術等三個方面來達成企業的安全防護。以法遵的要求而言,依照金管會的規定,只要設立資安長和資安專責人員,但是身為企業高階主管的資安長,當然不能和以往定義的資安部門主管一樣,只偏重資安技術和縱深防護而已。思考的角度必須進一步轉變成公司營運的思維與資安韌性,包括制度上ISO 27001、數位身分驗證等級國際標準(如ISO 29115)架構、零信任網路部署以及供應鏈安全等新的概念到各項數位資訊技術、資安技術,例如API、容器化、雲端、DevSecOps、SDN等都要提前布局準備。甚至所有產品開發、服務提供和業務發展的開始,就必須納入資安與韌性的設計。但是以目前金管會及證交所制定對金融機構及上市櫃公司的各種資安管控要求,未來要找到符合資格的資安專才將會愈來愈困難,也成為政府產業輔導的重要課題。
結論
全球網路攻擊日益增加,在 2022 年企業網路平均每週遭受的網路攻擊數量便相較去年增加 38%,我們看到多種網路威脅趨勢同時出現;不幸的是預期網路攻擊活動將有增無減。再隨著 ChatGPT 等人工智慧技術逐漸普及,駭客將能夠以更快的速度自動化生成惡意程式碼和惡意電子郵件,更成為2023之後的重大挑戰。
面對勒索軟體及網路攻擊,企業應加強在資安意識培訓、即時安裝修補程式、即時更新軟體,以及預防先於檢測的工作上,落實零信任網路架構、善用AI/ML的先進自動化技術以及找出合適的資安長人選。
在減輕供應鏈壓力的方面,就是與上游供應商合作,以預測可能發生的嚴重變化。然而,要做到這一點,需要能夠追蹤與直、間接供應商無數的交易技術,而「AI」就可能是其一解決辦法,它可根據目前狀況分析供需數據,確保企業能處理供應鏈中的任何不足,資安主管可依此為標準進行風險管控。因此,不論是企業內、外部加強安全管理,建立更加完善的零信任監控系統,進行資安風險評估以及提高相關人員的安全意識,將成為2023年產業的重中之重。
