業務部從 Duqu 2.0 感染伊核六方會談、烏克蘭遭 BlackEnergy 入侵而停電,全球數萬個政府和企業伺服器被擺在 xDedic 地下黑市叫賣,還有台灣 ATM 盜領與遊戲商遭 DDoS 勒索等事件,已成全球用戶的資安夢靨。光是去年亞太地區的 APT 攻擊就造成 9.5 億美元的損失,還導致孟加拉中央銀行總裁下台。
全球資訊安全領導者卡巴斯基實驗室與網路資訊雜誌合作,於 2016 年 12 月 29 日,假台北市寒舍艾麗酒店 5F 楓柏廳,舉辦「2017 卡巴斯基新世代網路安全威脅研討會」,邀請卡巴斯基 GREAT 資安團隊的安全專家,介紹各領域的資安解決方案,並探討未來面臨的威脅環境與攻擊趨勢,協助台灣企業抵禦網路黑暗時代的資安新威脅。
本文目錄
身處網路的黑暗時代 你我自保的清晰認知
論壇一開始由網路安全資歷二十年,投入卡巴斯基工作五年的卡巴斯基實驗室大中華區董事總經理鄭啟良先生以「資訊技術的黑暗時代」為議題上台致詞。他指出卡巴斯基從 2016 下半年,在中國大陸 20 個城市,香港、台灣與東南亞舉辦一系列網路安全的研討會,特別是這一場在台灣,希望能帶給各位不一樣的東西。
據卡巴斯基實驗室資料庫的資料,1986~2006 長達 20 年累積約一百萬個惡意軟體,同時從 2013 到 2015 年,曾遭受攻擊的用戶佔比從 56 、 57% 增加到 62% 。卡巴斯基實驗室每天分析超過 30 萬個惡意軟體,且所有作業系統都在遭受攻擊,光 Windows 就多達 3.84 億個惡意軟體,Android 也有 1,800 萬,Mac OS 、 Linux 與 iOS 也有 3 萬、 2.5 萬與 600 個。
網路犯罪是嚴重的全球問題,已造成全球每年四到五千億美元損失。而針對銀行自動櫃員機 (ATM) 攻擊的 CARBANAK 手法,從 2014 、 2015 年俄國與烏克蘭 ATM 強制吐鈔事件,在台灣也有銀行受害。去年 (2016)2 月孟加拉中央銀行 8,100 萬美元,到印尼、南美洲小國家銀行遭受類似突破 SWIFT 漏洞的手法被轉匯盜領,這類攻擊層出不窮,並無國界之分。 2011 年卡巴斯基在歐洲就發現類似手法,並與荷蘭警方聯手防禦。
過去總認為惡意軟體或 APT 是攻擊 Windows 桌機或 Android 手機系統,但從 2011 年起,針對如捷運、機場、水廠、發電廠等工業基礎設施的 SCADA(Supervisory Control And Data Acquisition) 工業控制系統攻擊事件層出不窮。在資安研討會上的模擬,一個大學生僅需三小時,就可將烏克蘭的電廠設施弄到癱瘓。去年六月香港碼頭也曾發生兩次將貨櫃車舉起的意外,哥倫比亞販毒集團控制海關碼頭舉重機查驗時,略過藏有古柯鹼毒品的貨櫃。
自 2007 年愛沙尼亞、 2010 年伊朗 STUXENT 蠕蟲、 2011 沙烏地阿拉伯石油公司、 2014 年德國鋼鐵廠、 2015 年烏克蘭電力公司到 2016 年美國、德國醫院等,都曾遭受過恐怖份子的攻擊。台灣會不會遭受恐怖份子的攻擊,我們並不清楚,但我們必須預先防範,任何可能來自網路對工業基礎設施的攻擊威脅。
鄭啟良總結我們身處於網路黑暗時代,從小至個人級別的智慧設備、網路與社群帳號,到大規模級別的智慧家庭、聯網汽車、線上商店、 ISP 網路服務商與通訊基地台,到關鍵性/國家級安全設施如電網、交通網路、金融機構、網際網路設施等,都應該涵蓋在保護網內。網路安全是一個發生在你我周遭的重要課題,你我應該積極去了解,才能知己知彼。
面對現在與未來的威脅
接著由鄭啟良代亞太總監 Vitaly 以「現在與未來的威脅趨勢」為題做第二場演說。他提到創辦人 Eugene Kaspersky 於 2008 年創立 GReAT(Global Research and Analysis Team) 的全球研究分析團隊,嚴格篩選全球 45 位網路資安專家入列,聚焦於進階持續性威脅 (Advanced Persistent Threat, APT) 、組織性攻擊、銀行威脅與複雜多目標攻擊手法,持續研究與鑽營防堵策略。
從 2010 年 Stuxent,2011 年的 Duqu,2012 年的 Flame 到 2016 年 Project Sauron 、 ScarCruft 、 Lazarus 、 xDedic 、 Dropping Elephant 等,全球超過一半以上的 APT 攻擊手法由卡巴斯基實驗室所獨家發現並率先揭露;同時也與國際刑警組織合作,從數位採證、教育訓練到調查上的支援與協助。
鄭啟良揭露一張由卡巴斯基實驗室製作的全球勒索軟體 (Ransomware) 分佈圖。當前勒索軟體猖獗的原因,在於黑市網站以很便宜的價格銷售整個套件。 2016 年光在亞太地區,勒索軟體案件數從第一季 32,594 件爆增到第三季 8 月的 45,842 件。卡巴斯基正與香港警方進行一項長期性合作,要破獲香港關於勒索軟體攻擊事件的犯罪源頭;同時在全球成立一個不以營利為目的、防範勒索軟體的聯盟 (nomoreransom.org),只要用戶貢獻一些問題與解答,就能成為聯盟會員並免費獲得勒索軟體的解藥。
網路犯罪行為越來越成熟。 XDEDIC 就是一種藉由掃描全球有漏洞的伺服器,植入木馬成為 BoT 殭屍網路的攻擊手法。到 2016 年 5 月全球共有 7 萬台伺服器被入侵、擺到駭客黑市上去賣,光在台灣就有 1,236 部伺服器被入侵,其中有些單位的硬體設備還相當高檔。
有組織的犯罪集團,利用像 GCMAN 釣魚信件 (Phishing Email) 夾帶木馬的文件檔,讓一群銀行機構的人都中毒,接者潛伏一段時間判斷誰主管錢財,利用匯出轉帳時,同步在背景作業並每分鐘匯款 200 美元;還有利用跨行 ATM 反覆交易、取消交易並同時不斷吐鈔的 METEL 手法,以及攔截匯款中間過程的 Carbanak 手法。越來越多網路攻擊跳過銀行體系,直接鎖定 ATM 開發商。卡巴斯基就發現某 ATM 大廠的自動更新檔內被植入木馬程式。光 2016 年全球銀行被 APT 攻擊而損失的金額高達 9.5 億美元,光孟加拉央銀就損失 8,100 萬美元,土耳其銀行也宣稱損失 400 萬美元。
對關鍵工業設施的攻擊,從 2019~2015 年統計針對工業控制系統攻擊事件逐年增加,光 2014 、 15 年就達到 245 、 295 件。 2015 年 12 月 23 日烏克蘭三家能源供應公司被駭,30 個變電站停止運作,23 萬戶停電 6 小時,且過了兩個月還未完全復原。卡巴斯基稍早 (2015 年 10 月) 曾在網路安全論壇中,來模擬如何將工業控制系統的電源迴路弄癱瘓,一群大學生只花 3 小時就辦到了。
2015 、 2016 年揭露 Tropic Trooper 這種針對台灣政府與石化工業攻擊的 APT 手法被揭露。還有像 Winnti 、 WhiteWhale 、 Dropping Elephant 、 Lazarus 、 Evilpost 、 Scarcruft 等,都是針對台灣某些 IT 設施、伺服器疏於做漏洞補丁更新的攻擊手法。卡巴斯基在 2016 年就對台灣提供 91 件公司、政府單位的非公開的 APT 報告,從入侵手法、受害名單、工控系統漏洞分析都有詳述。
鄭啟良最後引用亞太總監 Vitaly 對 2017 年預測做總結:針對性與被動植入的攻擊事件會越來越多,攻擊駐留時間越來越短,網路間諜活動越來越行動化、針對網路關鍵節點 (Internet of bricks) 進行攻擊,資訊戰爭越來越活躍,非報酬性的義務、理想型駭客越來越多,同時亞太地區會有更多 ATM 惡意軟體與攻擊事件。
網路資安的攻防智勝策略
第三場由卡巴斯基實驗室臺灣技術總監謝長軒先生,以「攻防智勝-卡巴斯基非端點解決方案」為議題做演說。他提到卡巴斯基每天觀察到每天增加 31 萬個端點病毒/惡意軟體/漏洞,可能是針對性攻擊以及惡意軟體活動,協力廠商軟體的漏洞,勒索軟體的急劇增長,行動設備的惡意軟體呈現指數型增長,以及針對 Mac 作業系統的威脅增長。網路威脅的金字塔分佈圖中,約 90% 屬於追求利益的傳統網路犯罪,9.9% 則是針對特定組織的定向攻擊,僅 0.1% 歸類在 APT 進階持續性攻擊,像是網路武器之類的手法。
網路安全威脅已侵入每個行業領域,從公共組織到私人企業,從政府到教育機構,因此卡巴斯基的企業安全解決方案,提供基於企業系統的整體防護措施,從終點安全、 Anti-APT 、資料中心安全、虛擬化安全、 ATM&POS 、儲存安全、行動化安全、情報服務與工控安全等特色。以多種探針、偵測零日威脅、蠕蟲攻擊、智慧檢測、雲安全防護與基於特徵庫的檢測等種種技術,提供企業多層次的防護,用以抵禦已知、未知與 APT 威脅。
一般工控系統關注焦點在於可用性、完整性與保密性,而在 ANSI/ISA-95 企業防護模型中,工業控制系統如 SCADA,迥異於既有企業的 Windows 桌機、筆電或平板/手機環境,有些是 RS-232 、 485 與 PLC 的控制。
卡巴斯基的工控安全解決方案架構,以反病毒、中央控管、完整性控制、 IPS 、事件記錄與方案整合等技術,結合建置初期由資安專家深入廠內觀察與訪談的專家服務,以及提供培訓與情報的服務所建構而成。像卡巴斯基提出的 KICS For Nodes 技術,可以整合並應用於 ICS/SCADA 設備的 HMI 人機介面上,提供預設阻止的白名單機制、漏洞評估、設備控制、 PLC 完整性監控;KICS For Networks 可於法務調查、監控與事件檢測工具上,提供網路異常流量檢測、對具潛在威脅的控制命令與網路完整性進行檢測。
謝長軒提到當前 ATM/POS 系統普遍僅 256MB,以行動數據機進行低頻寬連接,對網際網路連接、各家不同 POS 中介軟體僅部份限制甚至毫無限制,且仍以欠缺安全性的 Windows XP 為作業系統。惡意軟體對 ATM 攻擊的典型案例,從調研與資訊蒐集、開發針對性的惡意程式碼,繞過物理安全手段獲得 USB 與 CD 的存取權,並繞過 WinXP 安全機制,直接修改硬體設置並透過中介軟體操作,最後清空 ATM 的現鈔盒。
卡巴斯基 ATM&POS 嵌入式系統安全防護方案,採取預設阻止的白名單安全機制,滿足 256MB 低記憶體容量、無須更新的低頻寬需求,也無須連接網際網路;針對可執行檔、 DLL 、驅動層的掃描,以及 Hash 、簽名與行為校驗,同時對繞過卡巴斯基安全網路的白名單應用程式進行二次校驗。
卡巴斯基與 VMware 合作,直接支援原生 VMware 環境並整合 NSX 平台架構,提供所有 VM 與進階網路防護功能且不影響執行效率;另一個輕代理防護 (Light Agent) 的專利技術,能搭配 VMware 、 CITRIX 、 Microsoft 與 KVM 各種支援 VDI 虛擬桌面的 Hypervisor 環境上,在每個 VM 虛擬機配置一個防毒系統,僅佔用極輕量的系統資源。卡巴斯基也能偵測到某特定電腦對特定資料夾進行加密,類似勒索軟體行為時,即時加以防堵。
謝長軒指出資訊安全是一個涵蓋風險&安全認知、風險評估、計畫、執行、支援&更新的完整流程,而不僅是單一產品項目。而 APT 攻擊趨勢將朝向限定對象的針對式攻擊,不再是一次性攻擊行為,而是一個持續的程序;具有幾個月甚至幾年不被察覺的高隱藏性。 APT 解決途徑在於預知、阻止、檢測與回應。
卡巴斯基的 Anti-APT 解決方案 KATA,提供網路感測器(接收和處理網路鏡像資料流量、 HTTP 、 FTP 、 DNS 協定的物件與中繼資料)、包含 3 個獨立虛擬作業系統的沙箱系統,Web/Mail 感測器連接代理/郵件伺服器、支援 HTTP 、 FTP 協定並收集 ICAP 、 POP3 等資料;端點感測器蒐集終端層的運行程式、活動中的網路連接與發生改變的文件等威脅資料。
您堅實的資安後盾提供情報制敵機先
研討會末場由卡巴斯基實驗室臺灣銷售總監黃茂勳先生,以「卡巴斯基的安全情報服務」為議題。他提到兩年前卡巴斯基成立台灣區分公司,在地深耕並面對客戶。卡巴斯基所提供的智能安全情報,來自於全世界各地 GreAT 團隊的分析,以及各國資安/警政單位的合作,將全球資安大數據做彙整;APT 報告藉由總部統籌全球 GreAT 團隊的分析與研究資源,可依不同國家/地區、不同產業提供威脅報告。這威脅報告不僅提供受害名單、可能威脅途徑,也提供處置措施。
黃茂勳舉例 2015 年球各地國家無論軍方或企業,就曾向卡巴斯基調用來自北韓的 APT/威脅報告,了解如何透過第三者或第三地跳島攻擊南韓的途徑、 IP 名單與手法。卡巴斯基安全情報服務,還提供 IT 員工技術培訓(包含對惡意軟體的逆向工程分析技術)、終端用戶的安全、威脅數據訂閱、殭屍網路追蹤、威脅綜合報告、事件調查、滲透測試與應用安全評估等服務項目。
黃茂勳最後總結,卡巴斯基在各資安媒體/機構的獨立評測中,獲得 60 項第一、 11 項第二,許多 IT 大廠選擇跟卡巴斯基合作。其產品線不光是防毒軟體而已,還有前面介紹過的各種資安威脅與防護解決方案。他強調卡巴斯基原廠已在台灣設點,歡迎客戶跟台灣分公司聯絡,必要時會請總部調遣人力支援。其次卡巴斯基不僅提供產品與解決方案,還提供專業的技術服務,例如將蒐集未知病毒、惡意軟體或新型態 APT 攻擊手法培訓並轉移到企業,將數據導流、放到卡巴斯基的內部去分析、研究。最後對於工控部份,卡巴斯基對各家 PLC 做調研,協助客戶建置並提昇 SCADA 工控系統的防護性。
智取迎擊黑暗馭領未來光明
資安威脅目標已不再是個人,還包含大企業、政府、金融、電信、電商與其它產業,就封閉的工控網路也難以倖免。面對 APT 與針對性、組織性攻擊手法的的不斷演化,台灣企業必須正視掌握最新網路資安威脅,不能寄望只靠單一產品或資安解決方案,而是從心態、企業運作流程上去調整、去面對;選擇引領全球防毒、資安與 APT 防堵攻擊的廠商產品,跨國際性的產官學合作,分享全球資安漏洞與 APT 即時情資,才是這個動態不斷的網路黑暗時代下,台灣企業「攻防智勝,馭領未來」的唯一契機!