2016可說是充滿變動的一年,國內與國際局勢都出現許多紛擾,英國的脫歐和甫結束的美國大選更是跌破眾人眼鏡。今年在資安上也發生不少值得注意的現象,以下我們將為讀者回顧2016所發生的資安事件,同時進一步預測2017年相關的威脅趨勢分析。
勒索病毒成長趨緩 但攻擊手法更多樣化
在資安人「2016資安趨勢特刊」中提到,DDoS攻擊、網路詐騙、勒索軟體大幅成長都是企業該關注的資安議題。而根據趨勢科技發佈的2016十大資安數字,全台每8秒就有一個裝置受到勒索病毒攻擊,光2016 年第一季勒索病毒從企業所獲的不法所得就達2.09億美金。雖然趨勢科技預估在2017年勒索病毒的成長幅度會趨緩,但在攻擊手法和目標上則會變得更多樣化,尤其像非PC的智慧型裝置更可能成為勒索病毒的目標。
DDoS因IoT帶來改變
在DDoS攻擊方面,內容遞送網路(CDN)廠商Akamai於6月公佈的2016網路安全報告中提到,在2016年第一季Akamai所偵測到的DDoS攻擊次數比前一年大幅增加125%,攻擊流量到100 Gbps以上的次數也明顯提高。接著在9月法國的網站代管服務供應商OVH更遭到號稱史上最大,由14萬台的網路攝影機與監視器所發動,流量高達1Tbps的DDoS攻擊。
或許你還不清楚1Tbps的網路流量到底有多大?舉個實際發生的例子,在2014年中,蘋果日報網站因遭DDoS攻擊癱瘓,甚至得透過Facebook發佈新聞,當時的攻擊流量僅為20Gbps,由此可見這幾年來DDoS攻擊在量上的改變。而趨勢科技更提醒,現今各式IoT(Internet of Things)聯網裝置盛行,其數量龐大且分布廣泛的特性更適合用來發動DDoS,使得IoT在未來DDoS攻擊中將扮演更重要的角色。
IoT大量應用的潛在危機
接下來要談到的兩個需關注的重點,一個是已發生的APT攻擊,一個是將發生的Iot威脅。Gartner預估,到2020年全球IoT裝置的使用數量將超過208億個,而將有逾半以上的企業或系統中會應用到IoT裝置。它也預測,屆時會有超過25%針對企業的攻擊是與IoT有
關;但相對的,分配到IoT相關的投資卻僅佔整個資安預算的10%。
行政院國家資通安全會報技術服務中心11月公告中指出,今年9月有一隻名為「Mirai」的惡意程式原始碼被公開釋出在網路上,這隻惡意程式會鎖定以Linux為架構的IoT裝置,像多款網路攝影機的Telnet服務埠(Port 23或2323)進行預設密碼攻擊。當取得管理權限後有可能如前面提到的成為殭屍網路的一份子發動DDoS攻擊,或引發個人隱私外洩的疑慮,且目前該惡意軟體已有多隻的變種出現。文中還特別提到:「目前已確認受影響的產品是由中國與台灣廠商所生產之網路攝/錄影裝置,其中,部分中國廠商所生產的裝置會在韌體中預設寫入固定的帳號密碼,且使用者無法自行變更。」
趨勢科技全球技術支援與研發中心指出,儘管使用最新的硬體和應用程式,但大多數的IoT裝置還是架構在一些老舊的通訊協定與作業系統上。例如有些透過WiFi連線的車內資訊系統採用Linux的架構,並以缺乏安全組譯功能的C語言來進行開發。另外通訊協定的部分則像是使用TCP/IP (1989,RFC1122)、ZigBee (2004 規格)、CAN2.0 (1991)這些較早的通訊協定,它提醒:「歹徒只要成功利用這些通訊協定的漏洞,就能從遠端遙控裝置。」
IoT將成為「理想」的攻擊標的
我們之所以關注IoT的安全問題,是因為未來IoT裝置會走入每個人的生活之中,影響範圍甚廣。以企業來說,除了像POS這類的零售系統能透過網路來迅速收集銷售資料,用以協助商業決策的分析。即便傳統製造業,也希望在生產流程中導入IoT的各項應用來提高營運效率,也就是近來常被提到的工業4.0概念。至於個人,網路印表機、網路攝影機、智慧電視等聯網裝置也會逐漸走入家庭,成為日常生活中的一部分。
對駭客組織而言,IoT更是一個「理想不過」的攻擊標的,因為目前對物聯網的關注大都停留在「實際應用」的層面上。像如何透過網路進行各項的操作應用,或用以收集分析資料,提高工廠管理效率。但相對於安全防護則較少考量,有些甚至根本毫無安全性可言,自然就容易成為駭客攻擊的目標。當攻擊得手後,不但可透過這些IoT裝置發動DDoS攻擊;如果是網路攝影機則可以掌握個人隱私做為勒索詐騙之用;如果是企業POS系統,則有業務機密外洩的疑慮,其「攻擊效益」也相當誘入。
企業該如何提早規劃因應IOT可能帶來的風險呢?下一篇將會持續報導。
回顧2016,展望2017(下)