Websense 安全實驗室 2015 威脅報告 8 大關鍵趨勢呼籲企業注意新興攻擊戰術

網路攻擊與防禦一直不停在競逐。當防守方資安從業人員摸清楚何謂進階持續威脅攻擊 (Advanced Persistent Threat, APT)，掌握威脅殺傷鏈各個階段攻擊特徵之後， 駭客攻擊方又隨之展開新的變化以躲避偵查。同時，現在只要付少少的租金便能 取得駭客工具，人人都可以成為駭客，因此這一年來機密資料被竊的企業苦主也 不斷增加。 Websense 安全實驗室分析自 2014 年至今的攻擊演變，在 Websense 2015 威脅報告中提出 8 大關鍵趨勢，呼籲企業在數位達爾文主義風潮下，網路威脅手法演進驟變，企業應更注意駭客新的攻擊戰術、並趕緊補強防禦上的弱點。

Websense 北亞區技術總監莊添發表示，從去年到今年的攻擊事件，明顯看出攻擊 新的變化以及防禦上出現的共同問題。網路攻擊變得更有效率，使用既有的攻擊架構並置換攻擊工具包的惡意程式，就能發動新的攻擊。攻守雙方不斷的在惡意程式的偵測與繞過技術中互有領先，企業若將防護壓在一個節點上，一旦失守便全軍覆沒。

在日前發表的 Websense 安全實驗室 2015 威脅報告中，詳述 8 大關鍵趨勢並提出行動指引，協助資安人員規畫新的網路防禦策略，以下是精華摘要：

網路犯罪變得更容易，人人都可是駭客：現今已經是攻擊即服務的年代 (Malware as a Service, MaaS)，由於網路世界裡很容易就能找到可租或買的攻擊包，加上可以將 一連串攻擊階段中的某些複雜部分轉包給高手，現在即使是入門的菜鳥攻擊者都 可以成功發動資料竊取攻擊。除了很容易找到最先進的攻擊工具外，惡意程式作 者在既有的攻擊手法中融入新的技術，便能成功繞過企業偵測。例如，犯罪份子 所使用的程式碼及攻擊弱點是最新的，但其他在攻擊中所用到的網路基礎架構是 重覆使用的。舉例來說，在 2014 年，有 99.3% 的惡意檔案所用到命令與控制伺服器 (Command & Control, C&C) 的網址，之前就在其他惡意程式樣本中使用過。此外 98.2% 的惡意程式作者所用的 C&C 也曾出現在其他 5 種惡意程式中。

有點新又似曾相識？攻擊者在發送惡意的電子郵件時，開始將舊手法如巨集融入新的繞過技術中。舊的攻擊手法被重新使用在新的攻擊中並透過電子郵件或網頁 型式傳送，對企業的防禦陣地帶來新挑戰。而電子郵件，這種十年前就在用的散 佈方法，現今仍然是有效的威脅傳遞媒介，儘管現在網路攻擊大多是以網站為主。 舉例來說：

• 在 2014 年，Websense 所掃描的電子郵件中有 81% 是惡意的，這個數 字比起前年上升了 25% 。而 Websense 偵測到的惡意郵件中有 28% 是當 下防毒軟體的特徵碼都無法辨識的。
• 光是在 2014 年最後一個月中，Websense 安全實驗室就發現超過 3 百 萬個含有巨集的電子郵件附件。

數位達爾文主義－網路威脅適者生存：攻擊者已開始專注在他們攻擊的品質而 非數量。 Websense 安全實驗室在 2014 年觀察到 39.6 億個安全威脅，比起 2013 年少了 5.1%，但卻有更多佈署了眾多資安防禦工具的企業仍遭資料外洩，也說明 去年攻擊威脅更有效率。

攻擊者為了不被人建立起他們的威脅檔案 (threat profiles)，已經開始重組攻擊的手 法。他們變得比較沒有按照傳統威脅殺傷鏈的順序發動攻擊，某些攻擊階段被跳 過、某些被重複或只有進行部分階段，這使得偵測工作更加困難，也就難被描繪出整體威脅攻擊輪廓。

威脅殺傷鏈各個階段的活動都有了很大的變化，垃圾郵件探查行動主要作為威脅殺傷鏈的第一個階段，其他階段則看到有很大程度的不同。 有些階段出現更多的攻擊活動，有些則比前一年少。

例如，可疑郵件的數量有高達 25% 的年成長率，惡意檔案下載 (Dropper Files) 數量卻少了 77%，與遠端 C&C 連線的活動行為增加 93%，而弱點攻擊包的使用卻降了 98%，惡意網站重新導向的活動則維持不變。

避免掉入真兇追查的陷阱：要進行攻擊活動的來源歸因分析是非常困難的，因為駭客很容易就留下造假的資訊，避免行動被記錄以及追蹤，或者根本就不讓人知 道。往往進行了相同的間接證據分析卻會得到差異極大的結論，還是將寶貴時間 用在攻擊事後的補救上。

報告中其它重點如下：

• 提升 IT 的 IQ：到 2017 年，全球預估將短缺 200 萬個資安技術人才，除非能善用 資源並採取新的科技，不然企業組織可能會被他們對手給擊敗。 Websene 的嶄新 安全防禦技術，可以有效彌補防禦資源落差，專業的事情交給專家來做。
• 深入剖析內部威脅：內部人員造成的威脅雖然已經眾所皆知，Websense 再次提醒企業，根據 2014 年的資料證明，惡意跟不小心的內部員工資料外洩行為，仍然是 非常主要的資料外洩途徑。
• 脆弱的基礎架構：在 2014 年看到威脅已經滲入到網路基礎架構中，因為一些被使用十多年的技術，如 Bash 、 OpenSSL 、 SSLv3 等，已經被揭露出潛藏已久的程式碼 漏洞，卻仍然有企業繼續使用。
• 物聯網 (IoT)－以倍數成長的威脅：物聯網將呈現爆炸性成長，因為到 2020 年預 估將達到 200 億~500 億個連網設備。物聯網提供了各類設備前所未見的連結性與多元應用，但這類型設備往往追求容易佈署與創新設計，缺乏周全的安全保護， 將成為企業重大隱憂。

Websense 安全實驗室 2015 威脅報告的資料是透過我們 ThreatSeeker Intelligence Cloud 搜集而來，ThreatSeeker Intelligence Cloud 每天從世界各地接收到 50 億個內容。透過 Websense 安全實驗室在歐洲、中東、亞洲及北美的研究人員及工程師 檢視威脅殺傷鏈的攻擊活動及衝擊，並進行訪談與調查提供專家解讀報告。