網路攻擊(Cyber Attack)是指任何未經授權存取電腦系統、數位裝置或網路,且明確意圖在於變更、封鎖、控制、刪除、銷毀、停用、擾亂、揭露、操控或竊取資料、應用程式或其他數位資產的行為。網路攻擊可能出於各種動機且類型繁多,共同點在於其與數位系統的存在時間近乎相仿,而隨著數位系統的使用日漸普及,網路攻擊的數量、速度及精密程度亦隨之增長。
為何會發生網路攻擊
網路攻擊的目的在於造成損害,但具體目標會依據對象組織與犯罪者而有所不同。網路攻擊最常見的動機包含:
- 企業間諜活動
- 針對另一個民族國家發動的網路戰爭或網路間諜活動
- 財務獲利
- 為了政治理念、某種事業或表達立場的駭客主義
- 追求認同與成就(即為了炫耀)
- 因內部人員不滿而發起報復
誰會發動網路攻擊?
大多數網路攻擊是由下列類別的人員發動:
- 犯罪組織
- 政府資助的團體
- 單獨行動的個體
- 惡意內部人員
誰會成為網路攻擊的對象?
網路攻擊幾乎都具有特定目標。發動網路攻擊通常是為了取得對犯罪者有價值的資訊,比如:
- 財務資料
- 客戶名單
- 顧客資料(例如:個人可識別資訊 (PII,Personally Identifiable Information) 及其他敏感資料)
- 干擾行動(例如:作為掩護,藉此實施其他犯罪或報復行為)
- 電子郵件地址
- 智慧財產權(例如:商業機密或產品設計資料)
- 登入憑證(金鑰)
- 金錢
犯罪者會依據網路攻擊的具體目標來選定攻擊對象,確定對象組織後就會針對個體發動攻擊。
網路攻擊犯罪者會尋找容易攻陷的個體,比如容易取得其身分資訊的個體(例如:在部落格貼文、企業網站或社群媒體上公開聯絡方式的個體)。
值得注意的是,遭受攻擊的人通常並非組織中的領導者(例如:高階主管或董事),而是那些能夠接觸到領導者的人員,比如資深高階主管的助理。
最常成為網路攻擊對象的組織涵蓋多個產業領域,包含:
- 關鍵基礎設施
- 教育產業
- 能源與公用事業公司
- 金融機構
- 政府與軍事機構
- 醫療保健與醫療組織
網路攻擊會如何對企業或機構造成影響?
網路攻擊對企業或機構的短期影響或許已經相當顯著,但其長期影響可能更為嚴重。若網路攻擊得逞,可能會對企業或機構的多個領域造成重大損害,包含下列內容:
營運中斷
網路攻擊導致的營運中斷會造成停機與服務延遲,從而在整個企業或機構內產生嚴重的漣漪效應,像是影響生產力、造成財務損失,在某些情況下甚至會危及生命。
財務損失
發生網路攻擊可能會使組織遭受下列財務損失:
- 敏感財務資訊遭竊
- 執行詐騙交易
- 勒索要求支付解鎖加密資料的贖金及相關罰款與法律費用
- 為調查與減緩網路攻擊所耗費的時間與金錢
智慧財產權損失
網路攻擊通常會針對智慧財產權 (IP) 發動,比如專屬資訊、研究內容、資料及營業祕密。這不僅會損害企業或機構的競爭優勢與市場地位,還會造成專案投資浪費與失去營收機會等各種影響。
法律與監管遵循後果
網路攻擊會使企業或機構面臨嚴重法律與監管後果的風險。若網路攻擊遭認定為安全保障失效所致,則企業或機構可能就會違反資料保護與隱私法規、產業規章及合約義務,每一項都有可能招致罰款、法律責任及訴訟。
國家安全風險
當網路攻擊針對政府機構發動時,可能會使國家安全受到威脅。例如,若網路攻擊將關鍵基礎設施、政府系統或軍事行動破壞,則可能會使敏感資訊暴露、擾亂基本服務或危及國防能力。
商譽損害
網路攻擊(尤其是資料外洩)通常會導致政府與企業機構的商譽蒙受重大損害,比如:
- 失去顧客、合作夥伴及大眾的信任
- 失去顧客、合作夥伴及商業機會
- 負面宣傳與品牌商譽受損
網路攻擊的類型
網路攻擊可分為幾個類別,首先是主動型網路攻擊與被動型網路攻擊。
主動型網路攻擊主要影響系統的機密性、完整性及可用性(即構成網路安全系統基礎的 CIA 三要素模型,包括機密性(Confidentiality)、完整性(Integrity)與可用性(Availability));被動型網路攻擊則不會影響系統,而是以存取資料為目的。
另一種分類方式是將網路攻擊分為語法型或語意型。語法型網路攻擊指的是透過各種途徑感染電腦的惡意軟體。惡意軟體能夠封鎖檔案存取、銷毀資料、擾亂系統作業、使系統無法作業或竊取資訊。
語意型網路攻擊則是採用更難察覺的方法,藉此操控攻擊對象的行為。儘管可能使用惡意軟體,但其更著重於誘騙攻擊對象採取有利於攻擊者的行動,從而促成攻擊。例如:網路釣魚與勒索軟體並用,即是將語法型網路攻擊與語意型網路攻擊結合而成的方法。
語法型網路攻擊向量的範例
跨網站指令碼
跨網站指令碼(Cross-site scripting, XSS 網路攻擊)會將惡意程式碼植入合法的網頁或應用程式中。當使用者造訪遭到入侵的網站或應用程式時,惡意程式碼便會自動在使用者的網頁瀏覽器中執行。跨網站指令碼通常用於竊取用戶在合法網站表單中輸入的敏感資訊,或將其重新導向至偽造的惡意網站。
阻斷服務攻擊
分散式阻斷服務 (DDoS) 攻擊,是一種透過大量同時傳送資料來淹沒攻擊對象伺服器的方法。這類虛假流量通常是由殭屍網路產生,殭屍網路是由感染惡意軟體而遭到入侵的裝置(例如:物聯網 (IoT,Internet of Things) 裝置、行動裝置及筆記型電腦)組成的網路。
這類惡意軟體能給予網路犯罪者存取發動 DDoS 網路攻擊所需的電腦能力。其流量的數量與速度會使伺服器無法處理合法請求,從而擾亂正常作業。DDoS 攻擊常用來分散資安團隊的注意力,藉此掩護其他攻擊向量。
網域名稱系統詐騙
DNS 詐騙或 DNS 中毒會偷偷地變更 DNS 記錄,將合法網站的 IP(網際網路通訊協定)位址替換為重新導向至惡意網站的 IP 位址,而網路犯罪者便會從惡意網站竊取資料或散播惡意軟體。
DNS 通道攻擊
DNS 通道攻擊是一種精密複雜的語法型網路攻擊。網路犯罪者會建立能夠持續存取攻擊對象系統的權限(即通道),藉此取得繞過防火牆及其他安全措施的進入點。
然後,惡意流量便會採封包形式透過 DNS 通道傳遞。DNS 通道攻擊亦用於暗中擷取資料,或在惡意軟體與命令控制伺服器之間建立連線。
偷渡式攻擊(Drive-by)
網路犯罪者通常會使用惡意軟體感染合法網站。當使用者造訪受感染的網站時,該使用者的系統也會遭到感染。
無檔案攻擊(Fileless)
無檔案網路攻擊會利用合法軟體中的漏洞,將惡意程式碼插入系統記憶體中。無檔案網路攻擊通常會變更系統設定或竊取密碼。
特洛伊木馬程式(Trojans)
該名稱源自於希臘人在特洛伊戰爭中使用的特洛伊木馬。就網路攻擊而言,特洛伊木馬程式看似無害,但其實暗藏著惡意資料。
特洛伊木馬程式可用於多種類型的網路攻擊,這類程式會偽裝成應用程式或嵌入至合法軟體,藉此誘騙使用者安裝。
遠端存取特洛伊木馬程式
遠端存取特洛伊木馬程式 (RAT,Remote Access Trojans) 會在攻擊對象的系統上建立隱密後門程式,然後將其用於存取毫無防備的系統與特洛伊木馬程式。這類特洛伊木馬程式會安裝其他惡意軟體,藉此執行網路攻擊。
間諜軟體
間諜軟體會利用其他類型的惡意軟體(例如:蠕蟲、病毒或特洛伊木馬程式)進入系統。間諜軟體網路攻擊大多於背景發生,系統使用者不會察覺其存在。間諜軟體會暗中從系統蒐集資料(例如:信用卡號碼、使用者名稱及密碼),並將這些資訊傳回給發動攻擊的網路犯罪者。
SQL 注入攻擊(SQL injection)
SQL(結構化查詢語言)注入攻擊是一種試圖控制資訊且通常會將其外流的行為。網路犯罪者會將惡意程式碼注入網站或應用程式的後端資料庫中。
程式碼就位後,網路犯罪者就可以利用資料驅動應用程式的漏洞,例如透過像是搜尋欄或登入視窗等面對使用者的欄位輸入命令,而這些命令會傳遞給資料庫並使其傳回敏感資訊(例如:信用卡號碼或顧客個人資料)。
病毒
病毒是一種能夠自我複製的惡意軟體,可以依附於其他程式或檔案來進行傳播。病毒是網路犯罪者常用的網路攻擊向量,常見於檔案下載或電子郵件附件。啟動下載後,病毒就會啟用、複製並散播給其他使用者或系統。
蠕蟲
蠕蟲是公認為語法型網路攻擊中最常用的惡意軟體。蠕蟲能夠自我複製並快速散播至各種應用程式與裝置中。
蠕蟲與病毒相似,通常會透過檔案下載與附件傳遞,而不同之處在於蠕蟲能夠自我執行,不需要依附於其他檔案即可進行傳播。蠕蟲是一種相當精密複雜的惡意軟體,能利用其入侵的網路蒐集並傳輸資料至指定位置。
語意型網路攻擊向量與方法的範例
基於憑證的攻擊
基於憑證的網路攻擊是指網路犯罪者竊取憑證來存取並管理系統,藉此取得敏感資料或擾亂企業或機構的營運。其中一種基於憑證的網路攻擊是憑證填充(Credential Stuffing),網路犯罪者利用竊取的憑證存取其他系統即為發動此種攻擊。另一種基於憑證的攻擊是暴力攻擊,攻擊者會利用嘗試錯誤法來試圖猜測存取憑證(例如:使用者名稱、密碼或加密金鑰)。
中間人(MitM,Man-in-the-Middle)攻擊
透過中間人攻擊,網路犯罪者便能攔截兩人或使用者與伺服器之間的通訊來獲得系統存取權限。建立存取權限後,網路犯罪者就能竊取資料、散播惡意軟體或移動到其他系統。
網路釣魚
網路釣魚是一種社交工程手法,網路犯罪者會透過精心設計的電子郵件訊息誘騙收件人開啟電子郵件、點選惡意連結、造訪遭到入侵或偽造的網站、下載並開啟附件或分享敏感資訊。網路釣魚是非常普遍的語法型網路攻擊向量,對網路犯罪者而言依舊是相當有效的工具。
簡訊釣魚
簡訊釣魚亦稱為簡訊網路釣魚,其採用網路釣魚的概念並將其應用於簡訊。如同網路釣魚一樣,攻擊對象會收到誘騙點選惡意連結或開啟受感染檔案的訊息。
勒索軟體
勒索軟體是非常讓人畏懼的網路攻擊。勒索軟體是惡意軟體與人際互動的結合,通常會將本機硬碟、外接硬碟及連網電腦上的檔案與資料夾加密。
然後,網路犯罪者會向攻擊目標提供支付贖金拿回資料的選項。某些情況下,網路犯罪者會威脅將檔案維持加密且無法存取的狀態,在其他情況下則是威脅將敏感資訊公開曝光。
恐嚇軟體
恐嚇軟體是另一種類型的社交工程手法,會使用虛假訊息來恐嚇攻擊對象執行所需的操作,比如造訪偽造網站、下載惡意軟體或揭露敏感資訊。例如,網路犯罪者會傳送假冒執法機關的訊息,聲稱收件人必須採取措施才能避免面臨嚴重後果,但其實這些後果皆為捏造而成的內容。
供應鏈
供應鏈網路攻擊的目標是與攻擊對象組織有所關聯的第三方。通常而言,這些第三方的安全保障並不如攻擊對象組織健全,因此更容易入侵。網路犯罪者會利用這些漏洞作為對攻擊對象發動攻擊的進入點。
偵測網路攻擊
雖然沒辦法完全預防網路攻擊的企圖,但若能掌握相關徵兆,便有助於阻擋網路犯罪者成功入侵。專家建議用來偵測網路攻擊的工具與方法包含:
- 防毒與防惡意軟體
- 網路威脅情資
- 網路安全分析
- 端點威脅偵測
- 標記常用電子郵件
- 入侵者陷阱或蜜罐(honeypot)
- 網路威脅偵測
- 記錄異常的登入活動
- 滲透測試
- 主動式威脅狩獵
- 回報異常緩慢的網路速度
- 安全事件偵測技術
- 富含威脅情資的安全資訊和事件管理 (SIEM,Security Information and Event Management) 系統
- 威脅偵測工具
- 使用者與實體行為分析 (UEBA,User and Entity Behavior Analytics)
回應網路攻擊
遭遇網路攻擊時,快速回應是將損害與營運中斷影響降至最低且最有效的方法。建議將下列八個步驟作為基本的網路攻擊回應計畫框架。
- 準備
制定計畫來處理可能對企業或機構造成影響的網路攻擊類型。 - 偵測與分析
使用工具及早偵測可能是網路攻擊跡象的可疑活動。若已展開攻擊,則應分析現有資訊、分析電腦及網路記錄檔,藉此識別攻擊來源與範圍。 - 遏止攻擊
遏止措施十分關鍵,因為惡意軟體可能會快速散播至各種系統與網路中。 - 根除惡意軟體並封閉突破點
識別並遏止攻擊向量後,就應將其壓制並摧毀,封閉缺口並消除相關漏洞。 - 評估損害範圍
評估階段能為資安團隊提供寶貴資訊,用於識別任何尚存的漏洞。由於遭到入侵的資料與系統類型會影響後續需要揭露的內容,因此瞭解這些資訊對於遵守法律與法規遵循要求也同樣重要。 - 諮詢企業或機構的法律與法規遵循團隊
清楚、徹底地瞭解網路攻擊的揭露要求非常重要。根據攻擊範圍、規模及相關內容,其揭露要求可能有所差異,有部分則為強制規定。 - 警示受影響的對象
確定需要通知的受影響對象後,就必須及時聯絡這些對象。事先準備好通訊草稿有助於確保通知流程順暢無礙,並能控制訊息來將商譽損害降至最低。 - 復原與還原
受影響的部分應儘快還原至正常營運,並藉由備份復原任何遺失或受損的資料。
預防網路攻擊
儘管網路攻擊十分普遍且時常奏效,但仍有許多方法可使其更難發動。常見部署的網路攻擊防範解決方案與策略包含:
- 持續備份資料。
- 定期執行滲透測試。
- 使用最新的修補程式及版本,使系統與應用程式維持在最新狀態。
- 仔細管理並監控使用者身分。
- 從過往的網路攻擊企圖中獲取教訓。
- 提供安全意識訓練。
- 要求多因子驗證(MFA,Multi-Factor Authenication)與強式密碼。
- 採納零信任架構(Zero Trust)方法,限制對系統與資料的存取權限。
- 定期審查與測試網路攻擊事件的回應計畫。
- 使用經過驗證的解決方案,比如:
- 防毒與防惡意軟體
- 攻擊面管理 (ASM,Attack Surface Management)
- 延伸式偵測與回應 (XDR,Extended Detection Responses)
- 防火牆
- 身分與存取管理(IAM,Identity and Access Management)
- 資安協作自動化應變 (SOAR,Security Orchestration, Automation and Response)
- 統一端點管理 (UEM,Unified Endpoint Management)
減輕網路攻擊風險
這篇關於網路攻擊的回顧是理解其內容的起點。請務必撥出時間進行全面性的分析與評估,檢視貴企業目前在防範網路攻擊上的各項措施,同時審查現有的事件應變流程是否具備有效應對能力。儘管預防最為理想,但網路犯罪者的技術精密複雜且狡猾,總是能不斷找出繞過防護措施的方式,即便是最佳的防護措施也不在話下。因此做好偵測並遏止攻擊的準備,是將損害降至最低的關鍵所在。