一般企業關注的入侵事件,通常侷限在已發生威脅(如勒索破壞、帳號奪取、資料外洩等)的行動。但我們觀察到,攻擊者為了規避企業已部署的資安防禦與安全控制,會花費多數的時間,在相關資訊的收集以及探查,當資訊彙整完成後,再花非常短暫的時間進行入侵破壞的行動,一來精準快速的破壞可以降低防禦措施的反應時間,二來讓受害企業只注意到入侵破壞的結果,以利攻擊者可以用相同方式進行二次入侵。
以前述的案例來說,攻擊者發現伺服器漏洞當下,並不會立刻執行勒索破壞的行動,反而蒐集相關資訊以達成入侵行動的最高效益,例如規避主機防毒、備份作業時程與目標、內部主機是否可對外連線等,當相關資訊與方法萬事具備後,以「精準攻擊」方式快速有效的對目標進行滲透破壞。
假設該企業防火牆的資安模組未過期,雖然有可能可以防止這一次的勒索威脅,但請記住一件事情,當攻擊者決定要發動攻擊時,他絕對比你還要熟悉你的企業環境。為了可以持續有效的入侵,可能還有其他備案尚未端出來使用。如果你不想要讓攻擊者幫你的企業探查漏洞的破口,最好要有方法可以定期檢視內部資訊資產的風險並制定改善計畫。
駭客攻擊策略:安靜潛伏、精準攻擊
現在的駭客攻擊多數採取「安靜潛伏、精準攻擊」的策略來擬定各種對應的技術與手法。舉例來說,各位曾看過諜報電影或是特種部隊出任務影片,這些專業人士不僅悄無聲息的朝目標前進,也同時一直探索環境中有哪些可以利用的漏洞規避、對防哨破壞、並且做好退場準備,一旦時機到了就以迅雷不及掩耳的動作進行精準攻擊。
近幾年來,各種網路犯罪與攻擊行為都有「安靜潛伏、精準攻擊」的模式,在最新的Fortinet《2024全球資安威脅預測》報告中提到:攻擊者攻擊策略將持續「向左靠攏」,意味著在攻擊者的前置作業準備更佳細膩,如果沒有足夠有效的情報,攻擊者是不會冒然執行入侵行動的。
我們可以從MITRE ATT&CK框架來具體觀測到,許多攻擊事件的偵測活動過程中都曾出現許多跡象。只不過,這些潛伏的犯罪跡象並不容易被發現跟判讀,而透過具備有偵測(Detection)與響應(Respond)的EDR或XDR能力的資安系統是現今企業的選擇部署的好做法。
因此,面對現今的駭客時不僅要具備有主動性的防護能力外,也必須同時搭配具有EDR或XDR功能工具來發現潛伏的異常行徑,再加資安專業人員或是專業的資安服務廠商,協助判讀分析,對於提早破壞駭客發動精準攻擊的佈局,易如反掌。
如何免於駭客關注的憂慮
在現今的數位網路世代裡,每一個企業跟組織都可能正受到駭客的關注,也造成企業資安憂慮。許多的企業組織在資安規劃上都具有「資安需要防護」的觀念與作為,但卻往往畫錯重點而造成具備防護卻無法發揮效果的情況或擔憂,形成一種「道高一尺、魔高一丈」的假象。
其實,駭客只是更願意觀察目標環境的資安問題,並且等待目標犯錯失誤的時機,因為這些存在的資安問題對於駭客而言都是可作為利用發揮的空間;加上駭客進行犯罪行為不用受到程序規範約束而更具有效率。我們再次以上述的客戶案例來思考,防火牆的安全模組失效是因為續約採購的作業所致,即使承辦人員知道這將會導致企業網路安全洞口大開的威脅性,也只能祈求採購作業順利跟不要出事;相對地,當駭客在潛伏過程關注到這個情況發生之時,或許正是駭客發動攻擊所欠缺的「東風」。