今年以來,從RSA員工被誘騙開啟惡意電子郵件、HBGary Federal受到駭客入侵、Epsilon電子郵件地址外洩、Sony的Playstation網路遭受入侵以及花旗銀行則在北美地區約二十萬客戶的個人及帳戶資料外洩,這些種種事件正突顯資安防護的重要性,而本文也將透析這些事件的共通性以及背後的新興手法,並且建議企業自保策略。
今年是網路犯罪猖獗的一年。沒有人會嫌資訊安全的報導不夠詳盡,因為IT資安事件總是被特定的組織公諸於世後,攻佔新聞版面頭條。
一開始的RSA事件是一次精密而鎖定目標的網路釣魚攻擊。在此事件中,有少數的RSA員工被誘騙開啟一封其主旨相當吸引人的惡意電子郵件--「2011年招募計畫」,這封電子郵件實際上是一封隱藏著病毒的試算表。攻擊者嘗試危害RSA的安全識別碼驗證Token,並對眾多五百大企業公司造成潛在的風險,可能令公司付出高達數百萬美元的成本。
資安事件案例頻傳
另外同樣在年初發生的入侵事件為HBGary Federal,這是一家美國政府的資訊安全公司,因能查看到機密資訊的下載及發送、公司電子郵件、惡意軟體資料及客戶財務文件,而被有心的駭客集團所鎖定。據稱此事件是網際網路活動集團「Anonymous」駭客的攻擊,目的是要使該公司難堪並造成損害––此舉與HBGary Federal執行長宣稱他已滲透入駭客集團,並將揭露集團成員的資訊有關。
四月時,Epsilon亦經歷其有史以來最嚴重的一次資料入侵。Epsilon是世界最大的行銷電子郵件服務供應商之一,每年對Mc Kinsey & Company、Marriott Rewards、花旗銀行、Walgreens、Tivo等客戶發送約四百億封電子郵件。此事件造成數百萬個人電子郵件地址外洩,犯罪者企圖盡可能擷取最多的客戶資訊,建立出更為進階、自訂化及可信度的魚叉式網路釣魚電子郵件詐騙,以便日後針對其他受害的電子郵件收信人進行攻擊。
緊接著,Sony的Playstation網路亦將其超過七千萬名訂戶的個人資訊外洩––包括電子郵件地址、密碼、PIN、聯絡人詳細資料、亦可能包括信用卡資訊及其他類型的記錄,造成Sony的客戶曝露於網路釣魚活動及身份盜竊風險中。此外,該公司也承認五月初又發生另一起入侵事件,對兩千四百六十萬名電腦遊戲使用者造成額外損失,但並未表示造成入侵事件的詳細內容。
花旗銀行則在六月份透露,估計其在北美地區約二十萬客戶的個人及帳戶資訊已遭入侵。遭竊的資料可能包括信用卡資訊、客戶姓名及電子郵件地址。
抽絲剝繭診斷共通性
綜觀以上所言,這些攻擊已造成數百萬客戶的記錄、個人資訊及其他敏感企業組織資料的外洩。就正面觀點來說,這些公司已開始自立救濟,也對安全議題變得更為主動,能在發生入侵的第一時間報告,在大部份的情況下會迅速通知其客戶及人員發生的實際情況。
接下來讓我們來仔細審視這些不同事件間的共通性,以及背後的新興模式。
鎖定目標攻擊
從這些外洩事件所能確定的第一項診斷結果是:這些攻擊都經過非常縝密的規劃及執行,屬於符合進階持續性威脅(APT)條件的精密攻擊,並針對目標公司精心策劃,受影響的企業範圍之廣令人吃驚。除了HBGary之外,其他被鎖定的公司都是經營相當大量的資產、客戶資訊、機密資料以及擁有超過萬名員工的大型企業。
攻擊者經過高度訓練,挑戰的快感與實質獲利促使他們犯罪。這些攻擊擁有軍事突襲般的精準度,首先駭客嘗試並重製被鎖定公司的整體網路,以便在執行方案之前,先在實驗室環境中模擬攻擊。就HBGary案例而言,顯示出犯罪者具有高度的耐心及決心,他們也願意冒相當大的風險,就算必須付出數年牢獄之災的代價,也要實施攻擊任務。
社交工程攻擊
另外一個相似之處是這些攻擊都採用社交工程技巧。網路罪犯先鎖定及操縱企業內部的員工,以「破解人心」的方式滲透進公司系統。不幸地是,使用者通常是公司安全系統中最脆弱的一環。
駭客永遠都能找到有漏洞可攻擊的使用者,也許是安全意識不足的新進員工,或是過度熱心,以致於不小心透露太多資訊的秘書。一旦進入公司系統後,駭客就會不動聲色地運作。他們會在被偵測到且公司開始進行調查之前,儘可能潛伏並竊取最多的資訊。有時甚至可能長達數年。
財務資訊不是唯一值得竊取的高價值資料。從這些入侵事件中所見,攻擊者尋求較多的是一般的客戶資訊,而少為特定的帳單或信用卡資料,這類資訊對垃圾郵件寄發者而言非常值得利用。
網路犯罪者的金礦
當你擁有客戶資料庫記錄,如連結至姓名及電子郵件的使用者名稱時,就等於擁有許多寶貴的資訊。請想像對五十萬收信人寄送提議購買某項產品的電子郵件,只要每一千人中有一位收信人訂購你的產品,就能獲得五百份新訂單。這樣便不難想像出,擁有七千萬個電子郵件地址及個人資訊的垃圾郵件寄發者的潛在獲利了。
除了資訊在黑市上所代表的現金價值之外,還有這些攻擊對企業的智慧財產權及受損的品牌產權的成本。在最近對美國最大國防承包商Lockheed Martin的攻擊中,後果甚至更為嚴重,因攻擊者鎖定的是極機密、政府、設計圖資訊及軍事計畫,甚至可能危及五角大廈本身。
從教訓中自保
企業不應抱持著已善盡本份,因此不會受到攻擊的錯誤觀念。鎖定目標的攻擊日益增加,沒有任何公司能完全倖免。企業必須在網路罪犯及其公司網路和資產之間,盡可能建構更多的屏障。
保護應從跨網路、端點,以及連接網路的多重安全性裝置之間,部署深度的資安策略開始。企業需要進行多層保護,包括進階防火牆及入侵防禦系統(IPS)來偵測混合威脅;全面化端點安全解決方案,以保護端點及行動裝置安全;預防性的資料外洩解決方案來保護資訊資產。同時,也需要定義牢靠及結構紮實的資安政策,以利執行保護。資安政策必須配合公司商務目標,並讓內部員工充分瞭解。此外,企業應重新仔細檢視資料資產的取用方式,以重新評估如何做出最妥善的保護。
在關閉對預設攻擊者的「大門」外,企業也必須努力防備其長期的「後門」,亦即為使用者本身。人為錯誤是技術所無法單獨解決的安全問題,因為它沒有確切的修補方法。這必須仰賴公司主動地敦促、訓練和教育員工,讓他們變成真正的公司資安守門員。
(本文作者現任Check Point北亞區總監)