2022不平靜的一年即將進入尾聲,從年初到年尾歷經Apache Log4j的漏洞攻擊持續延燒、烏俄戰爭突顯關鍵基礎設施的重要、2300萬筆台灣民眾個資在駭客論壇兜售⋯⋯層出不窮的資安事件使得各國政府包括台灣在內,都已制定法規要求強化資安控制措施,最迫在眉睫的就屬年底前資本額超過100億元上市櫃公司需增設資安長。資安已躍升成為董事會關注議題,企業在規劃來年資安政策時需特別關注網路安全的發展趨勢,在有限資源預算下做最有效的投資。
更多的漏洞、不停的勒索攻擊Apache Log4j漏洞我們在前文曾談到其所造成的影響,然而由於此工具被廣泛運用在許多軟體中,不少企業甚至未曾發覺自己某個第三方軟體的外部元件或函式庫中已使用Log4j,也因此直到2022年底Log4j漏洞仍隱藏在許多企業IT基礎架構中,甚至美國網路安全基礎設施安全局(CISA)預告它的影響將持續數年之久。微軟也曾發布報告指出,有些由國家贊助的駭客團體利用Log4j漏洞作為後門,發動Night Sky勒索軟體攻擊。
談到勒索軟體攻擊,多年來企業仍然會聞之色變,事實上企業的受駭案例遠多於媒體所曝光件數,尤其是許多中小企業選擇支付贖金了事,更助長此勒索攻擊產業化趨勢。勒索軟體家族的變種如Hive、Vice Society及今年四月首度出現的新勒索軟體Black Basta等持續成功加密企業重要系統,根據VMWare公布的2022年度全球資安事件回應威脅報告指出,過去12個月中有6成受訪企業曾遭受勒索軟體攻擊。專家持續呼籲企業應採取零信任(Zero Trust)的存取控管原則,即使不能百分百避免勒索軟體攻擊發生,但能降低危害程度。同份報告中也指出,有25%的攻擊事件中駭客會在內網橫向移動提出存取機密資料的請求,橫向移動通常是因為企業對於雲端平台缺乏可視性或利用已取得IT管理工具以及正常合法軟體的帳密權限來進行。
然而勒索軟體攻擊能夠屢屢得逞,也是因為社交工程的奏效。根據台灣KPMG 的《2022台灣企業資安曝險調查報告》所指出,台灣企業員工在社交媒體的巨量使用及不經意留下商務電子郵件,暴露出社交攻擊的風險,尤以金融業經常在社交媒體發布金融商品服務或徵才等訊息,需特別注意。
供應鏈不應被忽視的環節 元宇宙Web3新興的隱憂除了勒索軟體攻擊之外,企業最應注意的還有供應鏈安全的風險。2020年SolarWinds的更新程序遭入侵被利用來發動攻擊,造成許多SolarWinds企業用戶哀鴻遍野,緊接著也有類似手法用來攻擊網管與基礎架構軟體商Kaseya的客戶,2021年英國國家網路安全中心(NCSC)為了協助企業應對日益增多的供應鏈攻擊,曾釋出一份新的指引,其中呼籲企業應將CI/CD軟體開發流程自動化並納入安全更新。而根據英國政府2022年的統計,英國半數企業將IT與網路安全委外第三方管理,卻只有13%會去評鑑供應商的風險,在其採購流程中多半不認為網路安全是重要評估項目,但NCSC提出警告,供應鏈的攻擊威脅將持續數年。
此外,元宇宙、Web3的興起著實令人著迷,但與其習習相關的加密貨幣與區塊鏈安全卻仍存有隱憂。漏洞回報獎勵活動就曾在Web3應用程式及服務中找出許多漏洞,加密貨幣交易所也屢傳出攻擊事件,遭竊數百萬美金的加密貨幣,這些被發現的漏洞有些是新的、較複雜的,但許多的攻擊事件仍然是因為系統組態設定錯誤或員工遭網路釣魚攻擊,使駭客握有系統帳密權限。
因此,展望2023年企業逐漸開始重視資安,但在人力配置有限、資安專才難尋的情況下,必須制定更有效且聰明的方法來推動資安。人力不足就善用資安委外服務或部分委外;導入自動化資安工具,人力不足時更應化繁為簡;以及導入安全開發流程(SecDevOps)等⋯⋯。工作沒有做完的一天,建立資安文化更不容易,但是提升全體的意識才能避免累死自己部門,資安長動起來吧。
