駭客已鎖定新目標,而這些目標往往超出資安團隊的監控範圍。資安業者Bugcrowd最新研究顯示,硬體和API的資安漏洞急遽增加,而網站漏洞數量則維持穩定。這種轉變反映攻擊者正調整策略,直接針對基礎架構下手,鎖定那些支撐企業營運的關鍵隱藏系統。
AI時代的高風險創新競賽
Bugcrowd資安長Nicholas McKenzie表示,我們正處於一場高風險的創新競賽。隨著AI不斷進步,資安環境變得更加複雜,而駭客正利用這種複雜性,持續針對硬體和API等基礎架構發動攻擊。
McKenzie強調,沒有任何一位資安長能單打獨鬥贏得這場競賽。要在此環境中成功,必須超越各自為政的做法,建立集體協作的韌性,整合對駭客社群的集體知識,共同超前部署以應對新興威脅。
硬體與API漏洞大幅攀升
硬體漏洞在2024年出現最顯著的增長,比去年同期激增88%。多位資安研究人員報告發現全新硬體漏洞類型。API仍然是駭客的首要目標,相關資安漏洞比去年同期增加10%。
API成為攻擊重點主要是因為其位於應用程式的核心位置,直接暴露業務邏輯和敏感資料。這使駭客能夠精準鎖定目標,即使只利用微小的漏洞也能造成重大損害。
研究指出,多數資安計畫起初主要關注網站安全,之後才逐步擴展到其他領域。當資安團隊擴大防護範圍時,他們開始在先前較少關注的區域發現更多漏洞,例如物聯網裝置、網路基礎設施及硬體系統。研究數據顯示,攻擊者也正緊跟這種擴展趨勢,調整其攻擊目標。
存取控制缺陷躍居首要威脅
部分漏洞類型因快速增長和重大影響而特別引人注目。存取控制缺陷(Broken Access Control)在2024年整體增加40%,在關鍵性、最高優先級問題中更激增36%。
這類漏洞對攻擊者極具吸引力,不僅因為容易被利用,還常導致敏感資料或內部系統直接暴露在風險中。存取控制問題對開發人員而言難以有效管理,特別是在應用程式日益複雜且團隊採用AI驅動編碼工具的情況下。快節奏的發布週期往往使安全考量被犧牲,導致存取控制缺陷持續存在。
值得欣慰的是,過去三年來關鍵API和網站漏洞有所減少,API漏洞下降約25%,網站漏洞下降30%。這顯示開發人員在這些領域已取得進展,促使攻擊者將目標轉向其他弱點。
個資外洩風險持續升高
資料外洩是另一個高風險領域。研究報告顯示,涉及姓名、地址和帳戶詳細資料等個人敏感資訊的嚴重漏洞增加42%。
這些外洩資料經常被用於販售、釣魚攻擊或勒索活動。更令人擔憂的是,許多資安事件往往在數月甚至數年後才被發現,讓攻擊者有充足時間造成更大損害。
漏洞獎金策略反映風險優先順序
隨著漏洞類型的演變,其發現獎勵也相應調整。2024年嚴重漏洞的平均獎金上升32%。儘管整體獎金水準維持穩定,企業已轉向對最嚴重問題提供更高報酬,同時減少對低優先級問題的支付。
這種趨勢表明企業日益重視防範災難性資料外洩的價值。資安長透過將更多資源分配到最大風險區域,能有效激勵研究人員專注測試,從而找出最關鍵的資安弱點。
資安防護策略建議
面對駭客攻擊目標的轉移,資安專家建議企業應:
- 擴大資安監控範圍:將硬體、物聯網裝置和網路基礎設施納入常規安全評估
- 強化存取控制機制:在開發週期早期就整合安全考量,避免快速發布犧牲安全性
- 建立跨組織協作:透過漏洞獎勵計畫等機制,善用外部資安研究人員的集體智慧
- 加速漏洞發現與修補:縮短從發現到修復的時間差,降低攻擊者利用窗口
此次研究凸顯現代資安防護已不能僅依賴傳統網站安全措施。隨著企業數位基礎設施日益複雜,資安團隊必須建立更全面的防護視野,才能有效應對不斷演變的威脅態勢。
本文轉載自 HelpNetSecurity。