一鍵風暴》有人就有資安,永不止息的網路安全攻防史

作者 | 發布日期 2020 年 11 月 19 日 8:36 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


駭客與企業 / 使用者之間的攻防戰,就宛如正義與邪惡之間的戰爭一樣,只不過它發生的地方不在漫威宇宙,而在 PC 與網際網路。 


我們離資安危機很遠嗎?再不小心!你的私密事就成全球共享資訊,只要輕輕點下一個按鈕,小至個人與家中訊息全被看光,大至整間公司的營業機密都可能跟著葬送。 👉 一鍵風暴資安系列專題


在網際網路還不普及的年代裡,駭客可以傳播病毒的媒介與管道不多,進入 PC 時代,幾乎每台 PC 上必備的軟碟機 / 軟碟片便成為病毒主要的傳染途徑。隨著網際網路的興起,病毒傳播的媒介與管道變得更加多元,駭客可以透過電子郵件、網頁背景下載、即時訊息、P2P、網路芳鄰、藍牙、無線網路、USB 隨身碟、網路硬碟、視訊會議、印表機、路由器、安全漏洞等多元管道散播病毒並發動惡意攻擊。

一時之間,端點安全便成為從個人乃至企業至關重要的資安議題。在網路上,舉凡 PC、筆電、平板、伺服器、印表機、路由器、IoT 裝置網路節點等連網裝置都稱之為端點,所以這些端點的安全問題,也決定了整個網際網路的安危。畢竟各式各樣的端點無異是駭客入侵網路、雲端乃至 IoT 物聯網的突破點,端點安全的重要性自然不言而喻。

除此之外,資訊安全也逐漸成為下至個人、上至企業乃至國家的重大安全議題。當然,不論何種層面的安全問題都會造成公司營運、信譽及財務上的可能風險,但層出不窮的資料外洩事件,亦使得資訊安全成為企業安全防護上的重中之重。

史上首隻病毒與首批駭客揭開網路安全史序幕

1970 年代可說是揭開網路安全史序幕的一年,因為史上第一隻電腦病毒 Creeper 就是在那一年出現的,該病毒揭露了網際網路鼻祖阿帕網(ARPANET)的許多漏洞,史上第一批電腦駭客也因為有了可乘之機而開始登上網路安全史舞台。

隨著 1974 年 Rabbit 病毒的出現,病毒開始被賦與「惡意」的意圖,自此以後,駭客用來發動各種惡意攻擊的軟體便有了「惡意軟體」(Malware)的統稱。歷經演變,惡意軟體的家族十分龐大,除了病毒與蠕蟲之外,還包括木馬、間諜軟體 / 擊鍵記錄器(Keylogger)、廣告軟體、勒索軟體、Rookit、Bootkit、惡意 Bot 等(參見「惡意軟體類型特性表」)。

進入 1980 年代,專門入侵軟碟啟動磁區(或硬碟 MBR 主開機磁區)的病毒開始主導惡意軟體大業,首開第一槍的是史上第一隻將攻擊矛頭指向個人電腦的 Brain 病毒(1986 年),緊接上場的是紐西蘭學生所撰寫的 Stoned 病毒(1989 年),它與它的變種(米開朗基羅病毒即為其中一個知名的變種)堪稱是病毒大流行史上頭一個 10 年裡傳播最廣的病毒家族。此外,1988 年的 Moris 則是史上第一隻透過網際網路大量散布的電腦蠕蟲。

資訊安全議題開始浮出水面

拜惡意軟體與駭客大亂鬥之賜,資訊安全議題開始在 1990 年代浮出水面,這一點從史上第一隻勒索木馬 AIDS(1989 年)、第一隻會破壞硬碟的米開朗基羅病毒(1992 年)的出現便說明一切。為了確保資訊安全,資料備份、密碼與加密開始蔚為風潮。

1990 年的「第一」尚不僅止於此,史上第一隻巨集病毒 Word-Concept 與史上第一隻 Excel 巨集病毒 XM_LAROUX 接連在 1995 年粉墨登場,緊接在 1999 年爆發的 Melissa 病毒,被視為史上第一隻透過電子郵件散播的惡意軟體,網路病毒時代於焉開啟。1998 年還出現了一個不知算不算是台灣「另類之光」的 CIH 病毒,這個被載入全球 10 大電腦病毒災害史冊的惡意軟體,是由台灣時為大四生的陳盈豪所撰寫,該病毒破壞力超強,會格式化硬碟、覆寫磁碟開機磁區並破壞 BIOS,結果造成全球 6,000 萬台電腦大當機。

網路犯罪濫觴於千禧年

打從千禧年開始,駭客開始在網路上幹起「有利可圖」的勾當,如今泛濫的網路犯罪濫觴於此。那時候可說是蠕蟲橫行的時代,充份展現了蠕蟲「快、狠、準」的一面。第一個上場的狠角色是 Code Red 蠕蟲,它首開系統漏洞攻擊的先例,並發動史上第一次成功以企業為目標的大規模混合式攻擊。最可怕的是,它在短短一天內(2001 年 7 月 19 日)就感染超過 35 萬台主機。

2003 年接連上場兩位「快槍手」,其中會對網際網路主機發動阻斷服務(DoS)攻擊的 SQL Slammer 蠕蟲,就寫下了短短 10 分鐘內感染 75,000 台主機的驚人紀錄。更快的還在後頭,身兼蠕蟲與木馬的 Sobig 光在 2003 年 8 月間就感染了百萬台連網的 Windows 電腦,成為史上傳播速度第二快的電腦蠕蟲。史上第一大魔頭莫過於 2014 年 MyDoom 蠕蟲,它在短短 3 天內就在網上發送了 1 億多封的病毒郵件,它也是迄今為止最具破壞力的惡意軟體,據估計其所造成的損失超過 380 億美元。

資料外洩泛濫、勒索軟體當道

時序進入到 2010 年代,最大戲碼開始換成資料外洩,其中,史上最大宗外洩案發生在 2013 年的 Yahoo 身上,據報導約有 30 億筆使用者帳號外洩。其他包括 Facebook(5.4 億筆)、Adobe(1.5 億筆)、微軟(2.5 億筆)、Target(1.1 億筆)莫不加入上億筆等級外洩俱樂部的行列。

至於惡意軟體,2010 年代開始改由勒索軟體當道,2013 年出現的 CryptoLocker 勒索木馬成功從受害者身上勒索了 300 萬美元。接著在 2017 年發威的 WannaCry 是史上第一隻勒索蠕蟲,它就是讓台積電發生震憾全球之產線大當機事件的罪魁禍首,並造成 150 國超過 30 萬台電腦感染。

國家級網路戰大亂鬥,IoT 攻擊蓄勢待發

除了勒索軟體外,專門鎖定民生礎設施內 SCADA 工控系統與可程式邏輯控制器(PLC)的新型態超級電腦蠕蟲 Stuxnet 也被揭開神祕的面紗,它的出現,進一步讓國家級網路戰成為新常態,換言之,由國家贊助的網路攻擊已成為各國趨之若鶩的網路軍備競賽。Stuxnet 提供了具體實現進階持續威脅(APT)攻擊手法的最佳實例,自至以後,結合一連串社交工程、攻擊、控制與滲透等量身定製攻擊步驟的 APT,成為今後網路戰精緻細膩化的中心思維。

(Source:TrendForce)

物聯網時代的到來,標誌著駭客的攻擊面也隨著萬物聯網的成形而變得更加無遠弗屆,動輒數以百億計的連網裝置頓時成為駭客眼中可用來組成史無前例巨大殭屍網路的無限資源,物聯網安全勢將嚴峻考驗著現行安全防護機制的能耐。2018 年造成全球 50 萬台網路通訊裝置感染的 VPNFilter,即為新物聯網威脅的初試啼聲,不久後我們會見識到一波波排山倒海而來的各類型 IoT 攻擊。

從密碼進展到防火牆與 IDS / IPS 時代

在網際網路尚未普及的年代裡,人們在意的是電腦的實體安全問題,為了防止不當或非法存取,密碼成為當時唯一有效的保護機制。時至今日,密碼與加密一直都是保護機密資料、系統與應用程式的必備安全機制。然而經過加密保護的物件仍然需要密碼來解除鎖定,所以密碼本身的強固性與定期更換便十分重要。儘管這已成為老生常談的話題,但萬年不改的預設密碼仍然是現代人們最普遍常見的通病,此舉就等於主動幫駭客提供「後門」一樣,它的效果和駭客植入的後門軟體實在沒什麼兩樣。

進入網際網路時代,個人與企業在網路上曝險的機率大增,防毒軟體與防火牆開始逐漸成為抵禦各類惡意攻擊的基本必備安全防護機制。撇開大家熟悉的防毒軟體不談,防火牆的主要功能就是根據預定政策來進行存取控制,以決定哪些應用封包可以進出其所部署的網路邊界。其基本做法就是將網路分割成彼此隔離的不同區域,並分別制定不同信任程度的存取控制政策。

但防火牆只會以一組靜態規則來允許或拒絕網路連線,針對可能的入侵行為,防火牆只能透過網路之間的存取限制來防止,但卻無法對來自網路內部的攻擊發出警訊。這個時候就需要尋求入侵偵測系統(IDS)的幫忙,一旦有任何可疑入侵,IDS 會立即發出警報,並且能監視從系統內部發動的任何攻擊。至於入侵防禦系統(IPS)不但能辨識、記錄並回報惡意活動,還能進一步中止並封鎖不法或惡意連線與活動,並能像應用層防火牆一樣執行存取控制。

因應 Layer 7 威脅與 Web 應用漏洞,NGFW 與 WAF 大行其道

為了改善並提升因應 Layer 7 應用層攻擊的能力,次世代防火牆(Next-Generation Firewall,NGFW)應運而生,該安全設備除了支援傳統防火牆所具備的封包過濾、網路 / 連接埠 NAT 位址轉換、狀態檢測、VPN 之外,並將更多層的網路架構納入管控,並提升根據封包內容以進行網路封包過濾的能力。NGFW 提供了深度檢測機制,具備偵測加密流量與應用的能力。根據 Gartner 的定義,NGFW 還必須支援 IDP 入侵偵測與防禦功能,SAN 甚至在自家 NGFW 定義中,額外添加了資料外洩防護(DLP)、網路存取控制(NAC)、SSL Proxy 及 QoS 等功能的支援。

由於 Web 應用漏洞百出,Web 應用安全也因為諸如資料隱碼(SQL Injection)、跨站指令碼(XSS)等攻擊的日益猖獗而拉起了警報,專門因應 Web 應用與 HTTP/HTTPS 封包的網頁應用防火牆(Web Application Firewall,WAF)遂派上用場。基本上,WAF 扮演了 Web 應用與端點之間安全政策執行點的角色。該設備可以杜絕 OWASP 十大 Web 應用安全漏洞風險、偵測嵌入在 SSL 加密封包中的威脅,並抵禦應用層 DDoS 攻擊。

從 UTM 進展到實現多層次縱深防禦的 SECaaS

隨著安全防護的面向愈來愈廣,安全設備的種類也隨之愈來愈多,為求管理上的便利性與成本效益,整合式威脅管理(UTM,許多廠商隨後多以「多功能防火牆」來稱呼)開始受到中小企業的青睞。說穿了,UTM 就是將多種安全功能集中在單一設備上的解決方案,基本上網路防火牆與 IDS/IPS 功能是最基本的選項,此外,一項廠商也會加入閘道防毒、深度封包檢測、Web Proxy 內容檢測、郵件過濾、DLP 及安全事件暨事件管理(SIEM)等功能。

然而 UTM 的最大致命傷,莫過於單點故障(SPOF)問題,一台 UTM 掛掉就等於全公司陷入安全防護完全停擺的可怕風險中。此外,UTM 個別安全的效能與精細度遠比不上專門性的安全設備。不論如何,UTM 的「整合性」概念被視為是企業安全部署上的終極形式,進而帶動多層次縱深防禦概念與部署策略的大行其道。

進入雲端時代,各種應用「上雲」已成為企業降低維運成本與風險、提升彈性度、生產力與競爭力的必要解決之道。尤其在 COVID-19 大流行期間,居家及遠距辦公更進一步地將各種雲端應用帶向史無前例的發展高峰。同時,端點安全也因為居家辦公而再度成為當下最受關注的議題。

伴隨而來的,採訂閱制的安全即服務(Security-as-a-Service,SECaaS)也逐漸成為企業關注的焦點,當前 SECaaS 類型廣泛,舉凡端點安全(如防毒、DLP、身分認證、IAM 身分認證與存取管理、郵件安全、加密等)、IDP、滲透測試、弱點掃描、DR 災難復原、網路 / Web 安全、SIEM 盡皆涵蓋。企業可以依需求訂閱各種安全服務,省卻部署、設定、更新及維運的麻煩與成本,並讓實現多層次縱深防禦安全境界的願景真正可行、加速來到。

延伸閱讀

(首圖來源:pixabay