2023年5大資安威脅公開，手法更難纏、贖金更多！怎麼辦？企業有3大解方

「在整個網路領域，我們觀察到令人不安的趨勢，即各種類型的（資安）威脅變得越來越普及，例如勒索軟體即服務、針對智慧邊緣設備的資安攻擊。」網路資安廠商Fortinet在本月公布的《2023全球資安威脅預測》裡寫道。

在《2023全球資安威脅預測》中，主要由Fortinet的旗下團隊FortiGuard Labs策畫，首先回顧今年常見的資安攻擊手法，並且接續提出2023年的資安威脅趨勢，可分成以下5點：

威脅1：「網路犯罪即服務」超難纏，手法、贖金持續攀升

網路犯罪即服務，意思是： 有經驗的網路犯罪者，向他人出售執行網路犯罪時所需要的工具和知識。 如此一來，其他網路犯罪者不需要在前期投入時間和資源來部署攻擊計畫。

網路犯罪者在RaaS（Ransomware-as-a-service，勒索軟體即服務）手法上日漸猖獗，2021下半年只有5,400個勒索軟體變種（variants），2022上半年則出現10,666個新的勒索軟體變種。

不僅如此，勒索「贖金」也持續攀升。根據美國金融犯罪執法局（FinCEN）報告指出，各組織在2021年上半年支付了近6億美元（換算約新台幣187億元）的贖金，幾乎超過前10年的總和。

對此，FortiGuard Labs預測未來將出現更多的網路犯罪者透過「暗網」（Dark Web）提供服務，除了出售勒索軟體與其他惡意軟體，也可能順勢發展出CaaS（Cybercrime-as-a-Service，網路犯罪即服務）的商業模式。

而對網路犯罪老手來說，打造與銷售「網路犯罪即服務」的攻擊產品，能夠以簡單、快速且重複性高的手法，輕鬆獲取高額利益與報酬。

威脅2：「偵察即服務」大行其道，使惡意攻擊的破壞效果更上層樓

偵查即服務（Reconnaissance-as-a-Service）意思是： 隨著資安攻擊變得更具針對性，駭客組織很可能在暗網上雇用「偵探」，並在發動攻擊行動前調查特定目標的相關情報 。

根據FortiGuard Labs形容，偵察即服務產品將提供一份完整的「攻擊藍圖」，其中包含企業安全架構、資安專責人員名單、內部伺服器數量、已知的外部漏洞，甚至是早已外洩的待售機敏資訊等等，來網路犯罪者實現具備高度針對性且更加有效的攻擊手段。

而為了將「網路犯罪即服務」帶來的威脅降至最低，FortiGuard呼籲組織必須結合欺敵策略與數位風險保護（DRP, Digital Risk Protection），在偵察階段即開始對抗惡意活動，以獲取資安防禦的絕對優勢。

威脅3：自動化技術助長洗錢犯罪，催生全新的「洗錢即服務」威脅模型

為了發展更強大的網路犯罪集團，駭客組織通常會雇用「錢騾」（money mules）洗錢，並透過匿名電匯服務或加密交易轉移資金，避免從事非法活動的風聲走漏。然而，招聘錢騾的過程相當耗時，網路犯罪者必須建立各種不同名目的假網站，以合法化表面上的業務。因此，駭客組織很快就會改為使用機器學習（ML）招募新血，幫助他們更好地判別「潛在的錢騾」，同時減少整體流程所花費的時間。

FortiGuard Labs認為，「洗錢即服務」的攻擊規模將迅速擴大，成為「網路犯罪即服務」的主流產品。此外，倘假設自動化服務完全取代傳統錢騾，將使洗錢活動變得更難以追蹤，也大大降低被盜資金被追回的機會。

威脅4：虛擬城市，成為網路犯罪滋生的溫床

元宇宙（Metaverse）在資訊世界催生了嶄新的沉浸式體驗，但也為網路犯罪增加更多機會。

由於人們可以在這座虛擬城市裡購買商品和服務，因此無論是數位錢包、虛擬貨幣交易所、NFT，還是可用於交易的所有貨幣，都為網路犯罪者開啟了全新的攻擊面。

與此同時，虛擬城市的AR或VR驅動元件，使網路犯罪者更容易竊取指紋對應、臉部辨識資料、視網膜掃描等生物特徵，並且衍生出資料竊盜、詐騙、勒索等犯罪行為。

威脅5：Wiper惡意軟體逐漸商品化，為破壞性惡意攻擊開啟無限可能

已有10年歷史的Wiper惡意軟體在2022年捲土重來，不少駭客使用新型Wiper變種病毒發動更具毀滅性的攻擊。

根據FortiGuard Labs《2022上半年全球資安威脅報告》顯示，與烏俄戰爭相關的硬碟資料銷毀惡意軟體數量顯著增加，且除了歐洲地區以外，全球亦有24個國家及地區發現相同類型的攻擊手法。

以現階段Wiper惡意軟體重新盛行的速度而言，網路犯罪者不僅會融合電腦蠕蟲、Wiper惡意軟體、勒索軟體，試圖將威脅最大化，更有可能讓Wiper惡意軟體「商品化」。

面對潛在資安威脅，企業組織可以這麼做

《2023全球資安威脅預測》最後指出，雖然網路資安攻擊手法層出不窮，但好消息是，許多資安人員正在努力反制這些惡意行為，例如美國司法部今年1月在打擊勒索軟體營運方面取得了重大勝利。

FortiGuard Labs也向企業組織提出3點資安建議：

• 了解網路攻擊的生命週期： 為了有效地保護你的組織，你需要掌握網路犯罪者的動機與戰術，以及了解駭客們如何行動。對此，「MITRE ATT&CK資安框架」可以提供幫助，其提供統一且結構化的方式，去描述攻擊者手法與行為；換言之，只要使用一張框架呈現，就能看出攻擊者所使用的策略與手法。
• 採用網路安全網狀平台： 擁有一個廣泛、綜合、自動化的網路安全網狀平台，對於降低使用複雜性、提高安全性是非常重要的。此外，企業的安全解決方案應該使用AI技術來加強，以便能夠即時偵測駭客攻擊並且阻止威脅。
• 實施網路分段與微分段： 此處指的是通過「分段」（segmentation）來防止攻擊擴散到整個系統，或者滲透到未受保護的設備。「微分段」（microsegmentation）則是一種網路安全技術，使安全架構師能夠進一步分割環境，假設出現資安漏洞，它可以限制駭客在應用程式中的移動能力與範圍。

責任編輯：林美欣

延伸閱讀

元宇宙應該打破「封閉高牆」！VIVERSE如何引領企業走入虛擬世界？
詐騙網站「一出生就被逮」！刑事局攜手Gogolook、台灣大，怎麼靠AI主動進攻？
「加入《數位時代》LINE好友，科技新聞不漏接」