地緣政治造成網路攻擊的對抗加劇,烏克蘭與俄羅斯、以色列和哈瑪斯、黎巴嫩,實體戰爭背後的電子資訊戰,未曾停歇。如今,美國大選落幕,中美對抗又會產生什麼變化,世界都在看;全球威脅分析師也為此展開聯防與交流。
AI技術普及 網路攻擊更加頻繁
由台灣威脅情資專家團隊TeamT5主辦的威脅分析師高峰會2024 TAS(Threat Analyst Summit)12/11-12日在台北茹曦酒店登場。繼去年首屆TAS高峰會後,今年年會擴大舉辦並採徵稿方式評選講師,計有來自日、韓、越、泰、印尼、新加坡、中東等超過150位頂尖威脅分析師出席,場面浩大。
TeamT5執行長蔡松廷(TT)表示,AI技術普及使網路攻擊變得更加頻繁,假新聞或圖片都可能使用到AI。事實上,中國對美國大選有很多惡意攻擊行為,他們操弄輿論,製造對美國政治人物的攻擊,從網路入侵、破壞,到假新聞的操作非常多。
蔡松廷強調,國際情勢直接牽動網路威脅的演變,預估各國將在網路作戰上,將投入越來越多能量;攻擊者也會開發出更多新的攻擊技術並持續演化。
資安防禦 威脅情資成重要拼圖
威脅情資分析是資安防禦工作的一塊重要拼圖,資安專責團隊透過威脅情資,可以研判並了解網路攻擊的最新型態和趨勢,進而善用情資,檢視自身面臨的潛在威脅,快速調整資安規劃,才能真正完善防禦,近年受到不少大企業重視並投入其中。
蔡松廷說,威脅情資分有不同層級,較低的例如拿到黑名單,匯進防火牆將他們擋掉,這是最簡單但會失效的做法;較高層級的情資若用得好,可以掌握駭客已鎖定的設備提早預防,事先阻擋接著可能面臨的漏洞攻擊。其中,策略型情資則可做更長遠的規劃,可以對全球主要攻擊者樣態和習性有所了解,優先在內部做規劃,是更有效做法。
攻擊手法改變 事件處理難度增
近期越來越多駭客入侵VPN或Router類的網路設備,潛伏其中再利用跳板尋找攻擊目標,或進行DDoS分散式阻斷服務。蔡松廷指出,現今攻擊者較少使用現成惡意程式,大多以手動入侵網路設備,如此不會留下任何足跡或後門,往往要改以觀察異常的活動做為偵測方向。
另外,過去攻擊者主要分為國家支持以偷竊機密資料為主的網路間諜,或一般謀利的網路犯罪,然而,兩者的界限越來越模糊,需要花更多時間做判斷,增加事件處理難度。
TeamT5 CTO 李庭閣(Charles Lee)表示,TeamT5 團隊在每年年底都會做資安事件的回顧,也會針對被攻擊產業整理出統計資料,他發現今年有很多台灣的傳統製造業,甚至連食品飲料產業,原以為不會被網路間諜盯上,卻被攻擊了。
究其原因有二,第一,現今所謂的漏洞攻擊更為普遍,攻擊者一旦發現漏洞,就進行全世界大規模的掃瞄,接著乘虛而入,發動攻擊;另外,過去仰賴政府為生的中國駭客因國家整體經濟惡化,不得不另謀出路,因此轉向對企業進行勒索性攻擊。
威脅情資應用 考驗資安成熟度
蔡松廷強調,了解攻擊者的背景、慣用手法和最新的攻擊行動,再將資訊轉化成企業內部提升防禦的力量,至關重要,這也是威脅情資分析的意義所在。如何讀懂情資,有效應用在資安策略規劃和實際的防禦上,考驗一個企業的資安成熟度。
近兩年有越來越多企業懂情資,自建情資團隊和平台,並有能力和專家團隊討論,這是好現象。期盼在我們用心推廣下,更多企業都能重視並善用威脅情資,將資安防禦工作做得更完備,讓網路威脅無所遁形。
值得一提的是,今年的高峰會近八成講師來自國外,其中,這次邀請到印尼分析師,分享如何打擊金融與電信產業的網路威脅;並有來自中東專家,談對抗能源產業攻擊的經驗。12日下午,日本知名企業伊藤忠(ITOCHU)代表,將從不同策略視角分享企業如何建立SOP做好事前準備,即便受到攻擊了,也能如閃電般快速度因應,降低或消弭攻擊事件造成的影響。
延伸閱讀
