最近俄羅斯與烏克蘭戰事消息佔據各大媒體版面,兩國戰事尚未開戰前媒體就有諸多預測,網路也有很多風聲。當各地仍處於揣測戰爭是否發動時,兩國已在網路世界展開大規模且沒有煙哨味的攻防。相關新聞可參考三軍未發網軍先行,烏克蘭國防部及銀行網站被癱瘓。網路為世界帶來新戰場,不受時間與地域限制,隨時都可以開戰。本篇延續WEF-2022年全球風險報告《重點摘要》僅10%人相信世界經濟加速復甦篇,深入於探討網路安全如何被列入全球前五大風險中。
Digital distress(數位焦慮,數位化似乎帶來了焦慮)
延續2020年勒索軟體數量增加435%;全球有三百萬個網路專家的缺口;2024年數位商機預計將成長至800億美元;95%的網路安全問題來自人為錯誤。政府、社會及公司愈來愈依賴科技管理所有事,從公共服務到商業流程、甚至每天的雜貨購物。融合科技平台、透過工具及接口互聯網正在迅速位移到去中心化的V3.0。V3.0雖然美好,但緊接而來的是更多的複雜網路威脅及不斷成長的嚴重問題。當社會持續轉移至數位世界,網路犯罪威脅日益猖獗,這會讓組織付出數十甚至數百萬的代價,這代價不僅是財務性質的,還包含了關鍵基礎設施、社會凝聚力、還有心理健康等,而且是持續性的付出。
Digital everything萬物皆被數位化
過去20年來對數位系統的依賴,對社會功能產生了巨大的變化!COVID-19加速遠端工作設備及平台的採用,並允許敏感資料透過第三方元件分享,包含雲服務供應商(Cloud services providers)、資料聚合器(data aggregators)、應用程式接口(APIs)其它的中介相關技術。這些系統儘管是強大的資料及處理工具,但同時也更強化對服務應商的依賴性。遠端工作也讓數位化由辦公室網路轉換至居家網路,這表示將有更多缺乏網路入侵保護的設備被拿來連線。基於使用多種科技同時工作的渴望-包含AI、IoT、機器人物聯網設備(Internet of Robotic Things-enabled devices)、邊緣計算(edge computing)、區塊鍊、5G等都在成長。雖然這些科技能力為商業及社會大幅改善效率、品質及生產力,但同時也讓使用者面臨曝露在更多且傷害更大的數位網路風險。
未來,當社會擁抱下一個以區塊鍊科技發展的網路時,數位工具的互聯性及一致性將持續增加。其中一種轉變就是元宇宙:一個3D的網路虛擬空間,由加密貨幣(cryptocurrencies)及非同質化代幣(NFTs)支持前所未有的社會經濟與身歷其境的虛擬環境真實體驗。使用者需要解決日益增長的安全漏洞,不論是在這些複雜的科技上與日俱增的依賴性或碎片化狀況,通常都有去中心化特色及缺乏結構化護欄或入門很複雜的基礎設施。
躲在數位化下的魔鬼-網路漏洞(Cyber vulnerabilities)
1.攻應鏈漏洞掀起的網路安全連鎖效應
在廣泛依賴日益複雜的數位系統背景下,日益成長的網路威脅也正在突破社會可以預防的邊界及管理它們的能力。例如,實體供應鏈數位化帶來新的漏洞,起因於這些供應鏈仰賴科技供應商及第三方元件,這些第三方元件也面臨著相同的、有潛在傳染性的威脅。2021年12月,Apache software foundation 中被廣泛下載超過百萬次的Log4j,發現一個嚴重的安全漏洞,該漏洞可被駭客用來竊取資料、或控制電腦對網路進行大量攻擊,其被美國國安局形容為核彈級的漏洞。被發現後光一週時間內,每分鐘都可偵測到嚐試利用該漏洞的頻率超過100次,這是一個活生生說明免費編碼庫如何大量散播漏洞的實例。請參考The Log4j security flaw could impact the entire internet. Here's what you should know。
資訊科技監測及管理軟體也描繪出傳灊性曝露的可能性,這將突破關鍵網路安全供應鏈的防護,最近期的實例便是2020年12月SolarWinds Orion攻擊事件!當SolarWinds知道自己被攻擊時,其已被入侵開始超過15個月時間。這個典型的供應鏈攻擊案例攻擊手法極其複雜。儘管這種大型又複雜的攻擊可能會需要擁有高度技術力的機構參與(例如國家機構),但其它犯罪機構肯定也會嚐試這樣的方法,關於SolarWinds事件資訊請參考SolarWinds hack was 'largest and most sophisticated attack' ever: Microsoft president與SolarWinds供應鏈攻擊事件研究。
2.加密貨幣升值400%的推手-勒索軟體產業興起
許多組織依然使用過時系統或技術,因此較舊的漏洞依然存在,而可疑的活動正在大量增加中,部份是因為日益增加的漏洞,而更大的原因是因為加入勒索軟體產業(ransomware industry)幾乎沒有門檻、被起訴或製裁的風險也很小。
2020年惡意軟體(Malware)增加了358%,同時勒索軟體(ransomware)增加了435%,透過勒索軟體事件還讓加密貨幣價值在2020年提高了4倍,請見下圖(Data souce: Chainalysis)。
3.勒索軟體服務化
勒索軟體即服務化(“Ransomware as a service”)允許沒有技術能力的罪犯也能利用勒索軟體進行攻擊;隨著人工智慧到來,透過AI驅動惡意軟體攻擊可能會成為未來趨勢。事實上,以營利為目地的網路僱傭團,已準備好提供攻擊者便利且隨時可得的網路入侵工具!此外,加密貨幣也已經提供網路罪犯幾乎沒有風險的收款管道。(可參考There’s a Better Way to Stop Ransomware Attacks)
使用勒索軟體的網路威脅者正在利用更強硬的手法來找尋更多漏洞,其中還包含收集高階管理人員資訊以做進一步勒索,這樣的威脅正影響公共設備、健康系統及擁有豐富資料的公司。例如DarkSide(已解散),被指控提供一套完整服務給他的客戶,對Colonial Pipeline公司進行資料外洩、DDoS原攻擊(包含三或四次的敲詐);駭客組織也會聯繫他們的客戶,督促他們叫受害者趕快支付贖金。
4.網路攻擊愈來愈更具目標性
複雜的網路工具讓網路威脅者可以更有效地選擇攻擊目標,而不是隨機挑選。以目標為導向的攻擊潛力,未來將導致更多的財務、社會及信譽損害。例如大家熟知的間碟軟體,已經允許對不同地區的記者及公民權力進行針對性攻擊,從而引發政府制裁與訴訟的政治,還有產業反抗浪潮。
當網路安全團隊或高階主管被其它事項分散注意力時,將是攻擊者發揮攻擊力的時候,例如COVID-19大流行時,網路威脅者透過攻擊獲得更多高品質的敏感資料。當然除了取得敏感資料外,攻擊者也可以散發假訊息,例如深偽技術(DeepFake)允許網路威脅者進行社會交工程,以大量的假資訊造成社會混亂,特別是高度變動時間。
全球風險認知調查的受訪者反映上述趨勢,因而將網路安全失敗(cybersecurity failure)列為自COVID-19以來,惡化最嚴重的十大風險之一。
(下篇待續)
【WEF-2022年全球風險報告】系列文章
WEF-2022年全球風險報告《重點摘要》僅10%人相信世界經濟加速復甦
【IT趨勢】WEF-2022年全球風險報告-網路依賴與網路漏洞(Cyber Vulnerabilities)帶來的風險(下)
留言列表
{{ article.title }}