[網絡保安] [網絡安全]
Fortinet發佈FortiGuard Labs 全球威脅情報及研究團隊,對未來12個月網絡威脅局勢預測。
Fortinet 香港、澳門及蒙古區域總監馮玉明說:「FortiGuard的2024年威脅預測報告內,提出「網絡犯罪即服務」(CaaS)會引至網絡威脅升級,生成式AI亦帶來影響。報告提供規劃建議,以應對威脅演變。」
Fortinet東南亞與香港資訊安全總監鄺偉基說,網絡攻擊的市場分工日益精細,負責尋找漏洞和進行攻擊,可能並不是同一組織,甚至有組織在暗網出售弱點情報作為CaaS,而且售價低廉,黑客只要購入就可按弱點發動攻擊。
暗網監察日漸流行
「暗網已經不限於出售盗取的數據,也包括了有關的弱點情報,例如某些IP位址和漏洞未有填補,甚至出售攻擊的工具。網絡暗網分工開始像建築行業,分工更精細,負責不同範圍,從工具至流程,以至漏洞都有出售。」
馮玉明表示:「不少數據暗網出售,不少企業成受害者不自知。近期暗網監察服務FortiRecon獲得不少企業採用。」
FortiRecon對企業、地理位置或部門提供精準的威脅情報。不少被盗取數據暗網出售,甚至攻擊弱點在暗網中被兜售,保安策略轉變思維,開始易地而處,從暗網蒐集數據,發現潛在威脅之後,即時獲通知作出預防。
「瑞士軍力」惡意程式
生成式AI的出現,黑客加強進攻能力,提升攻擊複雜性,估計網路犯罪策略、技術和程序(TTP) 會加快發展。AI武器化加劇網絡攻擊,提供可作多階段攻擊的惡意程式,以AI支援惡意活動,阻礙社交工程檢測甚至模仿人類行為等。
美國政府資助的研究機構MITRE發展ATT&CK框架,從攻擊者角度描述入侵戰術,技術和流程(Tactics, Techniques, and Procedures,TTP),現時約有二百五十多種戰術,幫助制訂防守的策略,大部分攻擊都可對應至ATT&CK框架,但不少惡意程式可支援多種TTP,一成可支援30種TTP,被稱為「瑞士軍力」惡意程式。
多年來,FortiGuard Labs一直留意常用攻擊手法,「經典」攻擊不會消失,黑客獲得新資源後,攻擊不斷演變進步。除了進階持續性威脅(APT)外,預測攻擊策略更多元化,專注破壞性更高攻的擊,轉向阻斷服務和勒索軟件。
注入式攻擊升級
鄺偉基說:「去年我們預測愈來愈多攻擊從邊緣出現,已經變成事實。」他表示注入式攻擊也正在改變,以往注入攻擊可能是Remote Code Execution(RCE),攻擊類似PHP、JAVA、ASP.NET的開發漏洞,著名的Log4j2就是RCA,而通過Bytecode攻擊,通過損壞記憶體入侵也在增加。
例如瀏覽器Javascript VM記憶體受到Arbitrary Code Execution(ACE)攻擊,可繞過虛擬機器安全機制,Bytecode攻擊也可導致C語言程式,記憶體出現緩衝區溢位(Buffer overflow),黑客隨而執行ACE的隨意代碼入侵。
過去幾年,以2023年為例,「零日漏洞」(Zero-day Attack)和常見漏洞暴露(Common Vulnerability and Exposures,CVE)數量創下新高。CVE數據庫是由美國國土安全部網絡安全和基建安全局(CISA)資助,透過蒐集自願性質組織發現攻擊,以CVE加上序號交由MITRE發佈,以統計和記錄安全漏洞。
鄺偉基說,CVE暴增原因之一,可能是開發使用大量的開源工具,在過程中又缺乏安全意識,又或者發佈應用前入侵測試不足,結果漏洞變成了供應鏈攻擊。
內部收買成趨勢
全球勒索的軟件急增,各行各業成為目標,預計攻擊者策略從專攻大型企業,轉移目標至關鍵行業,例如醫療、金融、交通和公共事務等。
「零日漏洞為攻擊者帶來價值,預計CaaS社群中將出現零日漏洞的經紀人,暗網上向多個買家出售零日漏洞。攻擊者會從内部部署策略,甚至收買內部的人員:不少企業正在提升其網絡安全管理,採用新技術流程加強防禦,攻擊者更難滲透,因此必須找新方法入侵。」
鄺偉基說,以往黑客會儘管採用不同TTP攻擊,未來則會縮小TTP範圍:找出最脆弱的部分制作TTP。日常網絡安全防禦涉及封鎖威脅指標,企業仔細研究攻擊者經常使用的TTP,有助縮小防禦範圍。
大選年攻擊頻生
預測黑客會從目標內部獲得訪問權限,未來一年地緣政治事件和大型活動,如2024年美國選舉年和巴黎奧運會,從以往每次重大事件,網絡攻擊亦相對活躍,加上生成式AI支持攻擊活動,從歷史經驗今年亦應不例外。
他估計有更多針對5G攻擊:隨著互聯技術增加,黑客可找到新詐騙機會。每天越來越多設備連接上網,預計互連攻擊加倍,而攻擊5G 基礎設施可擾亂關鍵產業;例如石油天然氣、交通、公共安全、金融和醫療保健等。