Fortinet：23年零日漏洞數量創新高，明年六大趨勢預測

Fortinet旗下FortiGuard Labs威脅情資中心公布 《2024 全球資安威脅預測》報告顯示，透過「網路犯罪即服務（Cybercrime-as-a-Service，CaaS）」的攻擊案例增加，加上生成式人工智慧的出現，威脅者比過往任何時候都更容易發動攻擊。同時，攻擊者各自仰賴的工具不斷演進，更一再提升攻擊行動的複雜性，目前已經可以發動更具針對性且更隱匿的攻擊，並且有能力規避一些強大的安全防護，其攻擊週期中每個戰術循環也變得更加靈活。
 
Fortinet 台灣區總經理吳章銘表示：「我們看到網路攻擊者正利用新的技術進化成新的攻擊型態，瞄準地緣政治動盪之時發動攻擊，充分利用越來越多相互連結的基礎設施，並將目標轉向一些關鍵產業，企圖對社會造成重大的影響。同時，攻擊者也運用更多的平台或軟體漏洞、甚至由企業組織內部進行滲透，對其內外夾擊試圖突破企業組織日漸升級的安全防護。因此，我們建議企業組織的防守策略不僅需持續研究攻擊者戰術、技術和程序來找到對策，還要透過公私部門共享的威脅情報，以預測攻擊者最新動向並干擾其攻擊行動，強化資安韌性。」

經典攻擊策略再進化，人工智慧武器化、攻擊目標與戰術更多元化

Fortinet認為「經典」攻擊策略不僅不會消失，反而正隨著攻擊者獲得新的資源也不斷演進。舉例來說，除了越來越多進階持續性威脅之外，網路犯罪組織進行APT的目標對象和攻擊戰術會更多樣化，並更專注複雜性和破壞性更高的攻擊手法，且其目的將轉向阻斷服務和勒索。
 
此外，網路犯罪的「地盤爭奪戰」仍在繼續，多個攻擊組織鎖定相同目標，並時常能在不到24小時的時間內將勒索軟體變種，FBI亦於今年稍早也向企業組織發出了相應警告。
 
因生成式人工智慧的演進所造成的威脅也不容忽視。AI武器化的現象正使本就猛烈的資安威脅攻勢又再更上層樓，為攻擊者提供了輕鬆增強多階段攻擊的手段。網路犯罪者越來越常運用AI以新的方式支持惡意活動，範圍涉及阻礙社交工程檢測，甚至到模仿人類行為。

《2024全球資安威脅預測》六大趨勢

儘管網路犯罪者總會仰賴經過實際操作可行的手法和技術，來實現短時間內快速得手獲利，然而現今攻擊者擁有越來越多的工具可用於協助攻擊執行。隨著網路犯罪的演變，我們預計2024年後將有一些新趨勢會顯現。
 
趨勢一、攻擊者不攻則已、攻則勢大迅猛襲向關鍵產業
過去幾年全球勒索軟體攻擊急遽增加，使得每個企業組織，不論規模或產業都成為攻擊目標。然而，隨著越來越多網路犯罪者都能發動勒索軟體攻擊，以獲取可觀的報酬，較小、容易得手的攻擊目標將很快被耗盡。

未來，預測攻擊者將採取「不攻則已、攻則勢大迅猛」的策略，將注意力轉向關鍵產業，如醫療、金融、交通運輸和公共事業，一旦攻擊得手，將對國家社會產生重大的影響，攻擊者也將得到豐厚報酬。同時，他們也將擴大攻擊策略，使其活動更加針對個人、更具侵略性和破壞性。
 
趨勢二、零日漏洞新時代到來，「零日掮客」將現身
隨著企業組織擴大應用日常營運所需的各種平台、應用軟體或科技的種類，網路犯罪者也因此有機會去發現並進而利用這些軟體的漏洞。我們觀察到2023年零日漏洞和新的通用漏洞揭露數量創下歷史新高，而這一數字仍在不斷上升。有鑑於零日漏洞為攻擊者帶來的價值，我們預計在網路犯罪即服務（CaaS）社群中將出現「零日掮客」，也就是網路犯罪者將在暗網上向買家仲介出售零日漏洞。而N日漏洞仍將持續使企業組織暴露於重大風險中。
 
趨勢三、滲透威脅日增，著重從內部的資訊偵蒐達成初始滲透的目的
由於許多企業組織正在提升其安全控制，採用新技術和流程以升級其資安防禦力。這些強化的安全控制使得攻擊者更難以從外部滲透至企業組織的網路中，因此網路犯罪者必將尋找新方法來達成目的。有鑑於此，我們預測攻擊者攻擊戰術將持續「向左靠攏」，包括資安攻擊鏈中事前偵蒐和武器化階段，開始從目標對象企業組織的內部獲取有用的資訊，藉以找到初始滲透的關鍵。
 
趨勢四、更加地透過地緣政治與其他重大事件來創造攻擊機會，瞄準進攻時機
當前全球政治局勢動盪，我們也預測攻擊者在未來將利用更多地緣政治議題和相關事件所驅動的機會，例如2024年的台灣、美國大選和巴黎奧運。儘管一直以來都瞄準重大事件，但現在網路犯罪者這擁有了新工具—特別是生成式AI，來支持他們的活動。
 
趨勢五、防守方鑽研攻擊者TTPs，縮小戰場找到潛在棋局瓶頸
無可避免地，攻擊者將繼續擴展他們用來威脅目標對象的戰術、技術和程序。然而，防守方可透過尋找一些方法來干擾這些活動進而取得優勢。由網路安全防守方日常進行的工作大多與封鎖威脅指標（indicators of compromise）有關，但深入研究攻擊者經常使用的TTPs是很有價值的，有助於縮小戰場並找到潛在的「棋局瓶頸」。
 
趨勢六、關鍵產業設施聯網漸增，使更多針對5G的攻擊有機可趁
隨著越來越多的互連技術的出現，網路犯罪者必然會發現新的威脅機會。在越來越多設備連網的趨勢下，我們預計網路犯罪者將會加倍利用這層連結進行攻擊。對5G基礎設施的一次成功攻擊，可能輕而易舉地就破壞了關鍵產業，如石油、天然氣、交通、公共安全、金融和醫療等。

公私領域共享威脅情資，強化網路安全韌性

網路犯罪會對每個人都產生影響，一旦遭受侵害往往後果影響深遠。然而，若我們的安全社群採取更多行動，來更好地預測網路犯罪者的下一步並干擾他們的活動，威脅者將未必能佔據上風，例如跨越公私領域合作、分享威脅情資、採用標準化資安事故報告評估措施等等。
 
企業組織在干擾網路犯罪上也將扮演更重要的角色。這始於創造具有網路安全韌性的文化，透過持續倡議實行針對整個企業組織的網路安全教育訓練，和更聚焦性的高層管理者的桌上資安演習—將網路安全視為每個人的職責。同時，也要找到能夠縮小內部資安技能落差的方法，例如運用新的人才來填補空缺，可以幫助企業組織應對IT和資安人員過勞的情況、以及不斷擴展的威脅格局。