網路安全威脅的定義與概述
網路安全威脅是一大類用來攻擊數位系統以達成惡意目的的攻擊向量(Attack Vector)。其中有一小部分網路威脅屬於無心之舉,但大多數文獻所提到的網路威脅,指的都是由心懷不軌之人所發起並執行的攻擊。
網路威脅通常由個人或團體(例如犯罪集團、國家級駭客組織,以及不道德的競爭對手)所造成。這些網路威脅的最終目標,可能包括造成系統中斷與破壞,或竊取金錢與敏感資訊。
網路威脅的目標與組織的攻擊面(Attack Surface)一樣廣泛且多樣。網路威脅會將所有數位存取點作為目標。常見的目標包括網路、裝置、應用程式、雲端服務、資料庫以及人員。
辨識網路安全威脅的重要性
辨識網路安全威脅的能力至關重要,可降低網路風險及潛在損害。若發生網路安全入侵事件,可能導致敏感資訊外洩、貴重資源被竊,以及營運中斷,進而造成財務損失、聲譽受損,甚至引發法律責任。
對潛在網路安全威脅的認知,有助於採取主動防禦措施。此外,及早辨識網路威脅還能實現快速回應與緩解,從而降低安全漏洞造成的影響。
網路安全威脅的來源
建立有效的網路安全防禦,需要了解攻擊者的身份以及他們的動機。
一般而言,網路安全威脅行為者是指利用安全漏洞,以取得未經授權存取的資料、裝置、系統或網路的個人或團體。他們的動機可能包括竊取運算資源、外洩或篡改資訊、降低網路效能以中斷服務,或進行勒索以索取贖金。這些攻擊的目標涵蓋個人與組織,攻擊形式從高度針對性的精準攻擊,到廣泛無差別的「撒網式」攻擊皆有。
網路攻擊者的類型包括以下幾種。
網路犯罪分子
網路犯罪分子通常以財務利益為主要動機。他們所發動的網路安全威脅類型,其複雜程度差異很大,從基礎型攻擊到進階持續性威脅(APT , Advanced Persistent Threat)都有。在某些情況下,網路犯罪集團會製作並販售網路攻擊(Cyber Attack)工具包,或以服務形式提供網路攻擊,例如勒索軟體(Ransomware)即服務。
駭客行動者
駭客行動者以意識形態為動機,構成一種狡詐的網路安全威脅。雖然他們通常不算非常高明,但駭客行動者經常採取隨機的攻擊方式,讓組織措手不及。他們的目標通常是羞辱或抹黑組織,而非追求財務利益,或造成除聲譽損害之外的物理或長期傷害。
內部來源
惡意內部人員的動機多半與財務利益或報復有關。有時,他們的犯罪行為源於勒索。由於這類威脅行為者對組織的營運及部分安全系統擁有特定的了解,惡意內部人員所帶來的網路安全威脅可能造成極大破壞。
國家支持的威脅
這類網路安全威脅非常嚴重,通常資金充足且目標明確。一般而言,國家級攻擊具有地緣政治動機。其目的可能包括針對政府、組織或個人的間諜活動、破壞關鍵基礎設施與系統、影響及操縱公共輿論,或建立殭屍網路以支援進一步的攻擊。
國家支持的網路安全威脅通常由最為高明的威脅行為者發動,並且擁有龐大且專門的資源支持。這些國家支持的威脅行為者,有時也會從事以財務利益為目的的攻擊行動。
常見的網路安全威脅類型
網路安全威脅持續演變。以下列出全球組織最常面臨的網路安全威脅類型範例。
惡意軟體和勒索軟體
惡意軟體(惡意程式, Malware)包含病毒、蠕蟲、木馬、間諜軟體、廣告軟體以及勒索軟體。在這些不同的攻擊向量中,惡意軟體是最常見的網路安全威脅。
惡意軟體通常透過惡意連結或電子郵件訊息進入系統。使用者一旦點擊,惡意軟體即被啟動,網路安全威脅便轉化為實際攻擊。
- 廣告軟體
廣告軟體可能是無害的(但令人困擾),也可能具有惡意。當使用者透過電腦或行動裝置瀏覽網站時,惡意廣告軟體會彈出不受歡迎的廣告。 - 勒索軟體
勒索軟體是最令人畏懼的網路安全威脅之一。一旦被啟動,勒索軟體會加密使用者系統中的檔案,使資料完全無法存取,系統也變得無法使用。攻擊者會提出要求(通常是贖金),以換取解密資料的方式。 - 間諜軟體
間諜軟體是一種會嵌入裝置的惡意軟體,它會監控並傳送使用者的活動資訊。間諜軟體也常被用來竊取敏感資訊,例如信用卡號碼和存取憑證。 - 木馬程式
木馬程式是一種偽裝成合法程式(例如應用程式或遊戲)的惡意程式碼。木馬程式也可能被嵌入在電子郵件附件中。一旦下載,木馬程式就會被攻擊者控制,用來操控受感染的裝置。 - 病毒
電腦病毒是一種會透過受感染的檔案在裝置之間傳播的惡意程式碼。病毒可以被程式化來執行各種有害功能。 - 蠕蟲
與電腦病毒類似,蠕蟲可以被程式化來執行各種惡意功能。不同於需要宿主檔案才能複製的病毒,蠕蟲具備自我複製能力,能在無需人工干預的情況下在系統之間傳播。
進階持續性威脅 (Advanced persistent threats, APT)
進階持續性威脅 (APT) 是一種長期執行的高難度網路攻擊。APT 通常由技術高超的威脅行為者發動,這些行為者經常與國家單位或有組織犯罪有關聯。
APT 的特徵包括隱密執行、持續性,以及惡意軟體的高度客製化。攻擊者通常會利用網路漏洞、建立後門,並在系統之間橫向移動,以收集資訊並擴大攻擊範圍。與一般網路攻擊不同,APT 的重點在於長時間保持一種持續且隱形的存在。
APT 的常見目標包括政府機關、關鍵基礎設施以及大型企業。APT 的常見目的是從事間諜活動、資料竊取或破壞行為。
雲端漏洞
許多與雲端部署相關的網路安全威脅源自人為錯誤。這些包括雲端設定錯誤、資料刪除不完整,以及雲端應用程式的漏洞。
公司帳戶盜用 (Corporate account takeover, CATO)
CATO 是一種針對企業的網路安全威脅。攻擊者會冒充組織內的合法使用者,以取得企業帳戶存取權。一旦取得存取權,攻擊者會透過未經授權的電匯或自動清算所 (automated clearing house, ACH) 交易將資金轉入其犯罪帳戶。
隨訪下載攻擊
當使用者造訪惡意網站時,就可能遭遇隨訪下載攻擊。在使用者不知情的情況下,惡意程式碼(例如木馬程式或其他惡意軟體)會在未經授權的情況下安裝到使用者的裝置上。
注入攻擊
注入攻擊利用各種漏洞,將惡意程式碼嵌入到網頁應用程式的程式碼中。由注入攻擊所引發的網路安全威脅,會依據所使用的惡意軟體類型而有所不同。
注入攻擊的類型包括:
- 程式碼注入會將惡意程式碼插入到應用程式中。
- 跨站指令碼 (cross-site scripting, XSS) 會將惡意的 JavaScript 注入到網頁應用程式中。當瀏覽器執行該程式碼時,攻擊者可能將使用者重新導向到惡意網站,或竊取 Cookie 以劫持使用者的會話。
- LDAP 注入會改變輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol, LDAP) 的查詢。
- 作業系統 (operating system, OS) 命令注入利用命令注入漏洞,使攻擊者能輸入命令並由作業系統執行。
- 結構化查詢語言 (Structured Query Language, SQL) 注入以 SQL 資料庫為目標。
- XML 外部實體 (XML eXternal Entities, XXE) 注入利用舊版 XML 解析器的內在漏洞,允許 XML 文件遠端執行程式碼並發動伺服器端請求偽造 (Server-Side Request Forgery, SSRF)。
內部人員威脅
內部人員威脅內部威脅特別具挑戰性,因為人員會利用對組織內部運作的了解來侵入系統或允許惡意外部人士取得存取權。內部威脅也可能來自並非出於惡意的人,卻因為疏失而使組織暴露於攻擊風險(例如點擊受感染的檔案或連結,或落入網路釣魚詐騙的陷阱)。
網路攻擊
網路攻擊以網路基礎結構為目標。此類網路安全威脅包括分散式阻斷服務攻擊 (Distributed Denial of Service, DDoS) 與中間人(Man in The Middle , MiTM)攻擊,其目的是中斷、攔截或操控網路流量。
分散式阻斷服務攻擊
DDoS 攻擊以網站為目標,透過大量來自不同網際網路協定 (Internet protocol, IP) 位址的流量(有時高達數十萬個,通常以殭屍網路形式存在)持續轟炸伺服器。結果導致網站停擺,造成組織的營運中斷及損害。
IoT(物聯網)攻擊
物聯網(IoT , Internet of Things)裝置構成了主要的網路安全威脅。這些連網裝置安全漏洞眾多且普及率高,因此成為攻擊者的主要目標。網路犯罪者會入侵物聯網裝置,並利用它們存取網路,進行橫向移動,以擴大攻擊範圍,進而取得敏感資訊與系統存取權。
中間人攻擊
在中間人攻擊中,網路犯罪者會插入雙向通訊的中間位置,攔截傳入訊息。其目的是過濾並竊取資訊。中間人攻擊的網路安全威脅形式多樣,包括以下幾種。
- 電子郵件劫持
攻擊者會偽造合法的電子郵件地址,用以欺騙收件人提供敏感資訊或將款項轉給攻擊者。由於電子郵件看起來合法,使用者往往會按照指示操作。 - DNS 偽造
當網域名稱系統 (domain name server, DNS) 遭到偽造時,流量會被導向冒充合法網站的惡意網頁。使用者在該受害網站輸入的帳號密碼或其他敏感資料,可能會被蒐集與盜用。 - HTTPS 偽造
HTTPS 偽造利用使用者對 HTTPS 網域 (vs. HTTP) 的隱含信任。此攻擊也稱為國際化網域名稱 (internationalized domain name, IDN) 同形字攻擊,其手法是透過修改網域名稱使其在外觀上看似合法以誘騙使用者前往攻擊者的惡意網站,例如將 google.com 改為 goog1e.com。 - 網際網路協定 (IP) 偽造
另一種冒充手法,IP 偽造攻擊會修改 IP 封包的標頭,使來源位址看起來像是來自受信任的來源。實際上該封包是惡意封包,會被用來滲透系統。 - Wi-Fi 竊聽
攻擊者會設置一個 Wi‑Fi 連線,並將其開放給毫不知情的使用者連接。連線建立後,攻擊者會監控流量並攔截敏感資料。
網路釣魚與其他社交工程攻擊
網路釣魚持續是最有效的網路安全威脅之一。它利用使用者的天真、粗心或忙碌,誘使他們採取可能危及安全的行動。網路釣魚攻擊通常透過電子郵件發動,也可能透過語音電話 (Vishing) 或簡訊 (Smishing) 進行。
另一種常被使用的釣魚手法是魚叉式網路釣魚。採用魚叉式網路釣魚時,攻擊者會針對組織內的特定目標(例如系統管理員或高階主管)進行調查,然後發動高度客製化的攻擊。釣魚的其他變體包括複製型釣魚、惡意雙胞胎/仿冒釣魚、網址釣魚,以及水坑式釣魚。
除了網路釣魚之外,其他類型的社交工程網路安全威脅也遵循相同的策略與手法。
- 誘餌
攻擊者以有趣或具價值的物品(例如免費贈品)作為誘餌,誘使人們落入社交工程(Social Engineering)陷阱。 - 偽裝情境
攻擊者以虛假的藉口欺騙他人提供資訊,例如冒充受害者會信任並回應的人士,例如:警察、醫院人員、國稅局 (IRS) 人員、銀行或信用卡公司,來取得敏感資料。 - 尾隨進入/搭便車
未經授權的人士透過利用合法使用者的進出權限來進入實體設施,例如在有門禁的入口尾隨合法人員進入,並藉由虛假的理由掩飾行為(例如聲稱忘記門禁卡或雙手拿滿物品)。
供應鏈攻擊與第三方風險
在供應鏈攻擊(Supply Chain Attack)中,攻擊者透過第三方工具或服務進入目標系統。這類網路安全威脅難以偵測,因為攻擊者會在合法應用程式中植入惡意軟體,並隨著該解決方案一同分發。供應鏈攻擊的常見攻擊向量包括:
- 建置工具
- 開發人員帳號
- 開發管線
- 實體裝置上的安裝
- 軟體更新機制
- 原始程式碼
網路犯罪分子會針對提供服務並與大型企業有連結的第三方組織發動攻擊。這類網路安全威脅具有挑戰性,因為攻擊者先入侵第三方,然後透過合法授權的管道獲得目標系統的正當存取權。
應對網路安全威脅的最佳做法
善用經實證的策略對抗網路安全威脅。許多網路威脅可以透過防禦策略阻止,但對於仍可能突破防線的威脅,透過主動措施及時回應安全漏洞,可降低潛在損害。以下是廣泛採用的最佳做法,可協助組織遠離網路安全威脅:
備份與復原計畫
花時間制定安全事件復原計畫可降低系統停機時間及潛在損害。災害復原計畫的核心應包括備份方案,涵蓋所有運作所需的關鍵資料,例如資料庫、客戶資料、財務資訊以及系統設定。
備份中還應包含關鍵應用程式的資料、使用者檔案以及虛擬機器快照,同時保留系統狀態與設定檔以便恢復環境。備份應定期更新,以捕捉近期變更,並將資料儲存在異地或安全的雲端環境以增加保護。此外,定期測試備份也很重要,以確保資料能夠有效還原。
員工訓練與意識
員工訓練與意識對防止網路安全威脅至關重要,因為人為錯誤被認為是最常被利用的漏洞之一。定期訓練可幫助員工識別並應對網路釣魚(Phishing)、社交工程(Social Engineering)及其他攻擊手法。訓練應包括模擬演練(如網路釣魚測試),以保持員工警覺並加強最佳實務。此外,明確的操作指引以及持續的安全意識推廣活動,能確保員工了解最新威脅,並知道如何辨識網路安全威脅。
事件應變計畫
擁有健全且經過測試的事件應變計畫可確保安全漏洞或威脅能迅速且有效地被識別與處理,以將損害降到最低。事件應變計畫應詳細列出偵測、分析、遏止及消除威脅的具體步驟。
事件應變計畫應定期更新並透過模擬演練測試,以確保應變準備就緒並填補潛在漏洞。此外,應分配關鍵人員的角色與責任,並建立通訊協議,以便通知利害關係人,並符合法律與合規要求。
網路分段
網路應劃分為隔離的區段,以透過限制橫向移動來降低潛在的攻擊面(Attack Surface)。此分段也能保護敏感資料與系統,僅允許授權使用者(人員與裝置)存取。分段政策應定期檢視與更新,以確保符合不斷變化的環境需求。
滲透測試與安全稽核
滲透測試應與安全稽核結合進行。兩者結合可幫助組織全面了解安全環境,特別是識別隱藏的網路安全威脅及潛在的安全漏洞。
滲透測試(又稱 Pen Testing 或倫理駭客)透過軟體與人員,使用手動及自動掃描以及模擬攻擊,檢測應用程式與系統的漏洞。安全稽核則系統性地檢視政策、設定及標準遵循情況,以確保防禦措施達到最佳化。
防禦網路安全威脅的工具
以下列出一些可用來防禦網路安全威脅的工具範例。
防毒軟體
防毒軟體可安裝在系統中,以提供主動防護,防範惡意軟體所造成的網路安全威脅。它能掃描、偵測並移除各類惡意軟體,例如病毒、間諜軟體、勒索軟體、木馬程式以及蠕蟲。
資料庫與知識庫
各種團體會收集有關網路安全威脅的資料,可供存取並用來強化防禦措施以及優化現有的網路安全系統。範例包括:
- ATT&CK
MITRE ATT&CK® 是一個全球性的攻擊者策略與技術知識庫。它基於真實世界的觀察,被各國政府、私人企業以及網路安全威脅解決方案提供者用來建立威脅模型與方法論。 - 國家弱點資料庫 (National Vulnerability Database, NVD) 是由美國國家標準與技術研究所 (National Institute of Standards and Technology, NIST) 提供的
NVD 是一個集中式漏洞資料庫,涵蓋知名且廣泛使用的系統與軟體的漏洞。它能協助組織處理常見且相對容易修復的安全問題。
加密軟體
加密軟體使用加密演算法,例如進階加密標準 ( Advanced Encryption Standard, AES)、資料加密標準 (Data Encryption Standard, DES)、Rivest-Shamir-Adleman (RSA) 將資料轉換為不可讀的形式,未經解密金鑰無法讀取。資料通常在儲存或傳輸過程中被加密,以防止未經授權的存取。
防火牆
防火牆會監控進出網路的流量,並依據既定的安全政策過濾惡意或可疑的資料。
補丁管理軟體
補丁管理軟體可作為安裝在系統上的解決方案或雲端服務使用,用於自動化更新與補丁的安裝。
網頁漏洞掃描工具
網頁漏洞掃描工具(或稱漏洞掃描器)會持續掃描各類網頁,以偵測安全漏洞,例如 SQL 注入、跨站指令碼 (XSS)、廣告軟體及間諜軟體。
零信任(Zero Trust)安全架構
零信任安全架構假設不應該信任任何使用者。所有使用者(包括人員與裝置)都需持續驗證其身份。
此外,零信任架構也強制最小權限原則(PoLP , Principle of Least Privilege),將使用者存取權限限制在完成職責所需的最低範圍。
零信任架構還會使用微分段,將敏感資訊隔離。透過零信任架構,組織的攻擊面以及潛在未授權進入點都能被有效降低。
持續監控與威脅偵測工具
這些工具提供網路活動的即時可視性,以偵測可能表示安全威脅的異常模式。透過持續掃描漏洞及監控系統日誌,這些工具可讓資安團隊即時識別並回應威脅,在問題擴大前進行處理。
進階威脅偵測工具,例如入侵偵測系統 (intrusion detection systems, IDS)、防火牆以及安全資訊和事件管理系統 (security information and event management, SIEM),透過機器學習與行為分析來識別異常行為。持續監控不僅能強化防禦,還有助於遵循合規要求,提供持續的安全措施評估,並降低安全漏洞發生的可能性。
端點安全解決方案
端點安全解決方案提供主動的網路安全威脅防護,保護電腦、智慧型手機、伺服器等裝置免受攻擊。這些工具包括防毒軟體、反惡意軟體以及端點偵測與回應系統 (Endpoint Detection and Response, EDR),用於監控並分析端點活動,以偵測可疑行為。大多數解決方案採用行為分析與機器學習(ML , Machine Learning)等進階技術,即時識別異常並回應威脅,通常能在惡意軟體擴散前將其阻止。
網路安全威脅與防禦的演變
網路安全威脅持續演變。正如旨在對抗這些威脅的安全解決方案一樣,網路安全威脅也會利用經驗教訓與技術進步。演變中的惡意軟體甚至日益運用人工智慧 (artificial intelligence, AI),以生成更具動態性的威脅。
AI 仍然是對抗網路安全威脅的強大工具。由 AI 提供支援的工具以及機器學習 (machine learning, ML) 模型可透過分析大量資料,更快速地辨識可疑模式與異常行為,達到比傳統方法更高效的威脅偵測。運用 AI 的網路安全解決方案類別包括:端點防護、網路安全(Cyber Security)、威脅情報以及使用者與實體行為分析。
網路安全威脅不容小覷
網路安全威脅對所有組織都構成風險,無論其規模或所屬產業。即使是小型組織也可能成為網路犯罪者的目標,因其可能擁有可竊取的敏感資料,或成為進入更大目標的切入點。
網路安全威脅的規模、複雜度與影響持續成長。能夠建立有效防禦的組織,通常是那些投資於威脅偵測、風險評估與管理的企業。這些組織會持續評估自身的安全態勢,並密切關注優化安全系統與控管措施的方法,以應對不斷演變的網路安全威脅。
