防堵七種駭客威脅管道　強化攻擊面管理降低風險

數位轉型與遠距上班已讓企業的攻擊面急速擴大。隨著應用程式、網站、帳號、裝置、雲端基礎架構、伺服器以及營運技術（OT）的不斷增加，攻擊面的管理也成了日益嚴峻的挑戰。根據趨勢科技最近一份全球調查指出，73%的IT與業務領導人表示對自己的攻擊面規模感到憂心，這一點也不令人意外。

有效的攻擊面管理（ASRM）應從主動防禦駭客突破企業防線的管道著手，而非等到駭客已經進入網路內部再來被動回應。根據IBM的2024年「資料外洩成本報告」（Cost of a Data Breach Report）指出，那些需要更長時間來發掘及管控的攻擊管道，就是帶來最嚴重後果的資料外洩型態。

本文將逐一檢視駭客突破防線進入企業最重要的七種攻擊管道來協助資安長（CISO）與資安領導人強化企業的攻擊面管理策略並降低資安風險，這些攻擊管道包括電子郵件、網站與網頁應用程式、漏洞、裝置、跳島攻擊、內賊威脅、雲端。

攻擊管道1：電子郵件

電子郵件依然是網路犯罪集團最常用來突破企業防線的攻擊管道，因為相對上容易操作（圖1）。在趨勢科技2023年攔截的所有1,610億次以上的威脅當中就有738億是電子郵件威脅。此外，這些攻擊所帶來的損失也在逐漸升高，根據IBM的2024年「資料外洩成本報告」（Cost of a Data Breach Report）指出，網路釣魚每年平均為企業增加了488萬美元的成本。

除此之外，在生成式AI（GenAI）的加持下，電子郵件攻擊未來將變得越來越難偵測，駭客將有辦法製作出逼真且誘惑力強大的網路釣魚和變臉詐騙（BEC），而且還支援各種語言，因此進一步擴大了網路釣魚的攻擊目標。

對此，除了仰賴電子郵件內建的防護之外，更應挑選一家採用以下技術來提供多層式防禦的廠商：

1. 具備人工智慧（AI）、機器學習（ML）、行為分析以及作者分析技術的電子郵件閘道。

2.雲端應用程式安全代理（CASB）技術，可分析信箱中的電子郵件，掃描其中的連結和附件檔案，以及同事之間的電子郵件，防範已遭入侵的帳號發送網路釣魚郵件給其他員工。

3. 安全網站閘道（SWG），可在使用者萬一不小心點到惡意連結時提供一道額外防護，它能檢查在線流量、分析影像、利用ML技術來分析品牌元素、登入表單以及其他網站內容，藉此偵測冒牌網站。

4. 內建的資安意識模擬與訓練，可用來教育使用者，最理想的情況是，廠商能根據近期發生的真實網路釣魚詐騙案例產生網路釣魚測驗範本。

攻擊管道2：網站與網頁應用程式

跨網站腳本（XSS）攻擊會利用網站或網頁應用程式的程式設計缺失來蒐集使用者輸入資料（圖2）。這也難怪XSS至今仍經常登上「開放網頁應用程式安全計畫」（Open Web Application Security Project，OWASP）的網頁應用程式十大資安風險排行榜，光是WordPress搜尋擴充功能Ivory Search的一個嚴重XSS漏洞就讓全球6萬個網站陷入惡意程式碼注入風險。隨著遠距上班與改用雲端服務的風潮造成網站與網頁應用程式暴增，企業應特別強化這個突破防線管道上的防禦。

對此，可考慮採取以下三個動作來降低自身的風險：

1. 修補所有漏洞

2. 掃描惡意腳本

3. 停用網站伺服器上不需用到的所有連接埠

此外，也可採用CASB來降低軟體服務（SaaS）應用程式的風險而不影響使用者體驗。它能解決影子IT（Shadow IT）的問題，防止雲端帳號遭到入侵，並且解決第三方服務（如Ivory Search）所帶來的資安漏洞。不僅如此，CASB還能與SWG解決方案的威脅攔截功能相輔相成，並且善用延伸式偵測及回應（XDR）的分析能力。

原本散置各獨立解決方案的記錄檔，能彙整起來為自身的環境提供一種更全面的檢視，獲得更完整的風險評估。

攻擊管道3：漏洞

漏洞可能造成系統停機或關閉（圖3），例如瑞典連鎖超市Coop的案例，駭客利用Kaseya Virtual System/Server Administrator（VSA）虛擬系統∕伺服器管理軟體的多個零時差漏洞對該公司發動了一波勒索病毒攻擊，使得該公司被迫關閉800家超市。

零時差漏洞、已知漏洞，以及永遠不會修正的漏洞正在不斷增加。根據Trend Research指出，2022上半年經由Zero Day Initiative（ZDI）漏洞懸賞計畫通報的重大及高嚴重性漏洞數量增加了23%。

以下提供修補更新管理的五大最佳實務原則，協助企業建立強大的漏洞攻擊防禦：

1. 找出與自己最息息相關的修補更新，按優先次序套用修補更新（圖4），並且參考美國「網路資安與基礎架構安全局」（Cybersecurity and Infrastructure Security Agency，簡稱CISA）的「已知遭到攻擊的漏洞」（Known Exploited Vulnerability）目錄。

2. 制定一套零時差漏洞應變計畫，因為這件事遲早要面對。隨時監控網路上是否有可疑活動，持續關注專門蒐集全球威脅情報的漏洞懸賞計畫，例如趨勢科技的ZDI。 3. 與廠商保持聯繫，看看是否有辦法將軟體回復到先前版本。

4. 善用虛擬修補，在廠商釋出正式修補更新之前預先保護含有漏洞的系統。

5. 讓利害關係人了解效益，在企業內培養一種資安文化，向董事會證明網路資安的投資報酬（ROI）。

採用ASRM對這些步驟將有所幫助，讓風險監控與評估流程更簡化、更充分、更有效。廣泛分析各種重要的元素，包括自身資產的重要性、漏洞、資安狀況、威脅活動以及曝險。明確掌握影響自身風險的因素，不必靠臆測，如此能做出更有效的決策，進而更有力地回應風險。

攻擊管道4：裝置

轉換至遠距上班模式讓虛擬私人網路（VPN）的風險浮上了檯面，這是一個可讓駭客存取整個網路的突破防線途徑。儘管遠距上班人員只能存取工作上的應用程式，但家庭中的其他裝置卻可能因為有不安全電腦連上了VPN而散播惡意程式（圖5）。有鑑於82%的資料外洩都牽涉到「人」的因素，因此當有更多裝置可以存取整個企業網路時，資安風險也會隨之增加。

對此，63%的企業機構都在捨棄VPN並改用零信任網路存取（Zero Trust Network Access，ZTNA）來降低整體攻擊面的資安風險，同時作為邁向零信任策略的其中一步。ZTNA會持續檢查使用者與裝置的可信任狀態，並且只允許裝置存取前端網站入口，如此就能防止駭客利用已入侵的裝置為跳板，擴散至其他攻擊面。

不僅如此，ZTNA還能提供所需的擴充性來支援不斷變化的企業營運。其綁定特定應用程式與使用者的連線，也不像VPN那樣需要大量頻寬，既能提供高效能的可用性與持續供應能力，又不影響使用者體驗。

攻擊管道5：跳島攻擊

跳島攻擊（Island Hopping）如同字面上的意思，是一種從外部環境轉進內部網路的攻擊手法（圖6）。隨著Kaseya、Log4j與SolarWinds等軟體接二連三發生問題，軟體供應鏈攻擊的發生頻率正在不斷增加。這個突破防線的管道當中還包含許多其他管道：資料分發服務（Data Distribution Services，DDS）、開放原始碼、系統管理工具，以及外部採購的應用程式。

根據一份趨勢科技全球調查指出，有52%的企業機構其供應鏈夥伴都曾遭到勒索病毒襲擊，意味著這些機構自己的系統也連帶陷入危險（圖7）。

對此，CISA在其發布的「資通訊技術（ICT）供應鏈風險管理（SCRM）基本概念」（Information and Communications Technology Supply Chain Risk Management Essentials）當中提出了打造有效軟體供應鏈安全的六大關鍵步驟：

1. 發掘：找出須參與的人員。

2.管理：根據產業標準與最佳實務原則來制定供應鏈資安政策與程序，例如美國「國家標準與技術局」（National Institute of Standards and Technology，NIST）所發布的原則。

3. 評估：了解你所採購的硬體、軟體與服務。

4. 掌握：詳細列出完整供應鏈來掌握你採購了哪些元件。

5. 檢驗：決定你的機構該如何評估供應商的資安文化。

6. 評量：設定時程與系統，根據指導原則來評量供應鏈的資安狀況。

攻擊管道6：內賊

根據2022年的一份Ponemon Institute全球報告指出，企業內賊事件獲得控制的時間從77天拉長到85天，企業須大費周章才能讓事件獲得控制（圖8）。不僅如此，那些超過90天才獲得控制的資安事件平均一年須耗費企業1,719萬美元的成本。不論是單純的意外、疏失，或是惡意的行為，內賊威脅的代價都很高。

透過資安意識教育訓練改善資安習慣，有助於企業避免內部人員出現意外或疏失的情況。至於其他型態的內賊，就必須仰賴持續監控入口與出口流量來解決。而且假使駭客是經由這個管道入侵，那麼一套完善的事件應變計畫將有助於快速控制威脅、遏止威脅擴散，並且降低財務衝擊。

攻擊管道7：雲端

數位轉型不僅加速了雲端的普及，也帶來了新的網路資安風險（圖9）。「趨勢科技2024上半年網路資安威脅報告」指出，「存取高風險的雲端應用程式」是今年上半年排行第一的風險事件。並且，在2024年5月撰文指出，組態設定錯誤的Container Advisor（cAdvisor）部署環境如何讓駭客能透過容器映像、情報偵察及其他方法來攻擊其漏洞。此外，根據IBM的2024年「資料外洩成本報告」，成本最昂貴的資料外洩類型都集中在公有雲，平均約為517萬美元（較2023年上升13.1%），反觀入侵多重環境的事件，其成本雖然稍微低一點，但卻更為普遍。

因此，採用一套能支援多重雲端及混合雲環境的雲端原生資安平台至關重要。請尋找一套盡可能將一切自動化的平台，從掃描基礎架構程式碼（IaC）、開放原始碼、容器與雲端工作負載，到設定清晰明確的資安政策，以及執行法規遵循檢查等等。

採用一套全方位網路資安方法來保護攻擊管道

看到這裡，大家或許會被可能需要的最新資安產品數量嚇到。確實，假使每一個防護層都要各自部署及維護獨立的資安工具，那根本就是無法管理，尤其在資安人才短缺與高流動率的情況下。所以，請採用一套全方位的AI輔助網路資安平台來降低複雜性、彌補現有人力的不足，同時確保資安的成熟度。

採用一套可涵蓋多重環境又具備廣泛第三方整合能力的全方位平台，將確保只須從單一儀表板就能掌握完整的可視性。此外，像自動化、持續監控以及XDR這樣的資安功能，對於攻擊面的管理也同樣至關重要。可視性與深度交叉關聯的資料，可讓資安團隊發掘、評估及防範整個攻擊面風險週期的威脅。若採用了像Trend Companion及Trend Vision One平台這樣的解決方案，企業將擁有眾多機會來更深入地善用資料、實現高品質的分析、發掘有意義又能化為行動的洞見。

如需有關攻擊面風險管理的更多資訊，可參閱以下文章：

‧採用ASRM來擁抱風險導向的網路資安方法 

‧Trend Vision One – Attack Surface Risk Management（ASRM）簡介。

＜本文作者：Trend Micro Research 趨勢科技威脅研究中心/本文出自趨勢科技資安部落格，是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作，發掘消費者及商業經營所面臨層出不窮的資安威脅，進行研究分析、分享觀點並提出建議。＞