威脅行為者會運用各種技術,來入侵組織的網路並發動網路攻擊(Cyber Attack),竊取資料或從事其他犯罪行為。為了防範這些惡意行為者,組織必須先瞭解自身可能遭受攻擊的方式,從攻擊向量(Attack Vector)開始著手。這有助於公司安排資源的優先順序,並在最具影響力的地方上實施防禦措施。
攻擊向量定義
攻擊向量(也稱為威脅向量)是網路犯罪者用來發動並執行攻擊的切入點或方法。他們利用攻擊向量中的漏洞,進入網路系統,來達成其目的,無論是使用勒索軟體感染系統還是竊取有價值的資料。
攻擊向量與攻擊面
攻擊面(Attack Surface)是指所有可能被惡意行為者透過攻擊向量加以利用的 IT 系統與元件。換句話說,這些切入點與通道都是威脅行為者在企業中可能採取的入侵路徑,包括人為面(例如員工與合作夥伴)以及技術層面(例如裝置與應用程式)。
網路攻擊者如何利用攻擊向量
攻擊向量協助威脅行為者達成其最終目的,可能包括破壞組織運作或竊取可變現的敏感資料。攻擊向量是一種達成目的的手段。例如,在網路攻擊者能夠穿越網路之前,需要在電腦中打開後門,與命令與控制中心建立連接,並遠端控制電腦。
常見的攻擊向量
每個組織內部都存在著多種攻擊向量,惡意行為者通常會嘗試多種途徑,以找出最脆弱的環節。其中最常見且有效的攻擊向量包括惡意軟體(Malware) 、網路釣魚(Phishing)、漏洞,以及過弱或遭竊的認證。這些向量常被用作資料外洩(Data Breach)與其他網路攻擊的起點,且經常被同時使用以提高攻擊成功率。
網路釣魚(Phishing)
網路釣魚是一種常見的攻擊手法,攻擊者藉此竊取登入憑證、散布惡意軟體,並誘使人們採取惡意行為。網路犯罪者深知,欺騙人類遠比破解技術系統容易,因此多數資料外洩事件都與人為因素有關。網路釣魚是一種有效的攻擊向量,因為它利用人性與情感,無論是好奇心、疏忽或恐懼。
網路釣魚是一個統稱,通常涵蓋多種類型的攻擊手法。最常見的攻擊方式是透過電子郵件進行,但也可能採取電話(稱為「語音網路釣魚」)與簡訊(稱為「簡訊網路釣魚」)的形式。網路犯罪者可能採用大量散播的釣魚手法,透過通用訊息發送給盡可能多的潛在受害者;也可能發動更具針對性且精密的攻擊,例如針對特定個人或族群的魚叉式網路釣魚,這些攻擊更加複雜且個人化。
惡意軟體
威脅行為者透過釣魚電子郵件附件、遭入侵的網站與可拆卸媒體(例如 USB 隨身碟)等方式部署惡意軟體。不同類型的惡意軟體有不同的用途,從加密檔案與系統以勒索贖金(勒索軟體(Ransomware))、記錄鍵盤輸入(鍵盤側錄程式)與感染其他系統(病毒),到在系統中建立後門(例如偽裝成合法軟體的特洛伊木馬)。
漏洞
惡意軟體入侵電腦、伺服器或其他端點的方式之一,是利用弱點,例如有缺陷的軟體程式碼。這些弱點被稱為漏洞。然而,漏洞不僅限於技術層面,也可能包含人員與流程上的問題。
從技術層面來看,最常見的漏洞包括設定錯誤與未修補的軟體。雖然有些攻擊者會利用尚未被發現或尚無修補方案的漏洞(稱為零時差漏洞),但更多情況下,他們是利用已知的漏洞進行攻擊。部分組織在廠商釋出安全修補程式後,可能需要數月甚至數年才會套用,這讓網路攻擊者有充足的時間發動攻擊。
過弱或遭盜用的認證
認證是網路犯罪者最渴望取得的資料類型,他們通常使用遭盜用或強度較弱的登入資訊來入侵組織。這些登入資訊可以輕易地透過網路釣魚或在暗網上取得,而這種攻擊向量比起例如穿越防火牆的駭客手法更具成效,因為它能讓攻擊者更長時間地潛伏於系統之中而不被察覺。據估計,約有 60% 的資安事件與認證有關。
網路攻擊者如何利用攻擊向量
威脅行為者會在網路攻擊過程中的不同階段利用各種攻擊向量,這些階段被稱為攻擊鏈 (Kill Chain),即網路攻擊的一系列步驟。攻擊通常從偵察階段開始(評估環境並識別目標與策略),最終達成其主要目的,例如在資料外洩事件中,完成資料的外傳。這個過程包含以下幾個步驟。
識別目標系統
在偵察階段,網路攻擊者會決定嘗試入侵哪個系統,無論是電子郵件伺服器、網路資料庫或端點等等。他們從外部開始滲透,執行各種動作來掃描系統中的漏洞。例如,他們可能使用自動化軟體來掃描開放的連接埠或設定錯誤的資料庫。
利用資料收集與觀察工具
在這個階段,攻擊者會使用掃描工具、惡意軟體、網路釣魚與其他技術,盡可能蒐集目標組織與系統的相關資料。他們的目的是找出潛在弱點,以便判斷最佳的攻擊方式。例如,他們可能會尋找使用過時作業系統的電腦,或是存在安全漏洞的應用程式。
利用針對攻擊向量建立的工具
一旦攻擊者識別出目標系統中的漏洞,他們便會利用攻擊向量來取得初步立足點。為達成此目的,他們可能依賴現成的惡意軟體與其他工具,或自行開發工具(例如撰寫指令碼)。
安裝惡意軟體
在取得初步立足點後,網路攻擊者會部署惡意軟體,並運用其他技術來強化其在網路中的存在。例如,他們可能會將權限提升至具有管理者權限的使用者或系統。此外,他們也會利用惡意軟體來掩蓋行蹤(如刪除記錄),並建立通往外部位置的通道,以便將資料外傳。
竊取重要資料
攻擊者使用遠端存取軟體(可能與入侵時所使用的軟體相同)與 DNS 通道攻擊(濫用 DNS 通訊協定以規避防禦機制)等方法,手動或使用自動化工具,將資料複製或傳輸至他們控制的位置。他們的目標是在擷取資料的過程中,盡可能長時間地保持隱匿。
與攻擊向量相關的網路攻擊
DDoS(Distributed-Denial-of-Service, 分散式阻斷服務)攻擊
在 DDoS 攻擊中,攻擊者的目標是基礎設施而非資料,其目的是癱瘓系統運作或中斷服務。為達成此目的,他們會從多個遠端位置傳送大量請求或流量,造成伺服器過載,進而導致系統嚴重阻塞或當機,使合法使用者無法正常存取系統與服務。
殭屍網路攻擊
殭屍網路是由大量被惡意程式感染的電腦與其他裝置所組成的網路,並由攻擊者遠端操控。攻擊者利用殭屍網路來發動 DDoS 攻擊、傳送網路釣魚郵件,以及透過暴力破解手法入侵系統。
客戶資料被盜
常見的攻擊類型是針對資料庫、伺服器與其他儲存大量有價值資訊(例如客戶資料)的系統。以竊取資料為目的的網路攻擊者,通常會將個人可識別資訊 (personally identifiable information, PII) 來牟利,利用這些資訊透過身分盜竊進行金融欺騙,或是挾持資料勒索贖金。
利用攻擊向量的威脅行為者
內部與外部的行為者都可能利用攻擊向量發動攻擊,儘管惡意內部行為不如來自組織外部的攻擊常見。
惡意內部人員
惡意內部人員可能是心懷不滿的員工,也可能是尚未被撤銷系統存取權限的前任同事。例如,他們可能會部署惡意軟體來癱瘓系統以報復,或是假冒其他員工進行網路釣魚攻擊。
「駭客行動主義者」
這些人的動機並非金錢,通常是為了表達立場或引起對某個特定議題的關注。
商業競爭對手
商業競爭對手可能會試圖取得智慧財產權,例如專利與專有研究,以深入瞭解競爭對手的情況。企業間諜活動攻擊者所採用的手法,與那些企圖竊取資料或造成系統破壞的駭客非常相似。
網路犯罪集團
大多數網路攻擊是由以金錢為動機的有組織犯罪集團所發動。這些集團屬於一個蓬勃發展的地下經濟體系,其運作方式與合法商業世界相似,網路犯罪者各自專精於不同領域,並在暗網上交易服務與產品。
國家級行為者
一些最具破壞性與傳播範圍最廣的網路攻擊往往是由國家資助的高階攻擊團體幕後主使的。即使這些團體的目標是特定的組織,例如關鍵基礎設施供應商,仍有許多其他企業會在攻擊過程中受到波及,成為意外的受害者。
與 SailPoint 合作
SailPoint 協助企業確保只有授權的內部與外部使用者能夠存取資料與系統。深入瞭解我們的身分安全(Identity Security)方法,以及它如何為您的組織帶來效益。
