跳過主内容

透過新的 RiskIQ 報告掌握外部網路受攻擊面解析

網際網路現已成為網路的一部分。此一概念看似誇大其辭,但隨著各行各業大舉邁向混合式和遠端工作型態,加上多雲環境大舉崛起,安全性團隊必須有所作為,才能捍衛自身的完整線上生態系統。近期發生多起以網際網路系統為目標的勒索軟體攻擊事件,為業界敲響了一記警鐘。現在,零信任已成為企業安全性的終極標準,基於此一原因,組織務必全盤掌握自身的受攻擊面,以便將內外部威脅一網打盡。

Microsoft 於 2021 年收購了 RiskIQ,旨在協助組織評估整體數位企業的安全性。存在於元件、連線、服務、IP 連線裝置和基礎架構中的威脅,皆有可能構成受攻擊面,而組織可藉助於 RiskIQ 網際網路情報圖表 (Internet Intelligence Graph) 之力,加以探索和調查,從而建立彈性且可擴充的防禦機制。對安全性團隊而言,上述工作看似一項不可能的任務。也因如此,本文將運用管理外部受攻擊面的五大重要須知,協助各位了解相關做法的重要性。如需深入了解,請參閱完整的 RiskIQ 報告

受攻擊面會伴隨網際網路成長不斷擴大

2020 年的網際網路資料量已達 40 ZB 或 40 兆 GB 之多。RiskIQ 的調查顯示,每分鐘都有 117,298 部主機及 613 個網域投入網際網路中。上述每個 Web 資產都包含底層作業系統、架構、協力廠商應用程式、外掛程式和追蹤程式碼等項目,而潛在受攻擊面更是呈指數性成長。

當中的部分威脅從未入侵內部網路。2021 年第一季一共偵測到 611,877 個網路釣魚網站,每分鐘都會發生 32 個網域侵權事件,以及 375 個新興威脅。這類型的威脅都會使用流氓資產和惡意連結等項目來鎖定員工和客戶,同時從中竊取會削弱品牌信賴並傷害消費者信任的敏感資料。

RiskIQ 每分鐘可偵測到:

  • 15 個過期的服務 (容易發生子網域劫持)
  • 143 個開放連接埠

遠端員工帶來新的資訊安全風險

COVID-19 疫情加快了數位成長速度。幾乎每個組織都擴充了自身的數位架構,以因應遠端或混合式工作型態。正因如此,可讓攻擊者趁隙而入的存取點現在大為增加。組織因疫情之故,紛紛實施在家工作政策,而此舉也導致遠端桌面通訊協定 (RDP) 和 VPN 等遠端存取技術的使用率急遽攀升,分別成長 41% 和 33% 之多。

在 RDP 和 VPN 使用率大幅暴增下,數十個資訊安全風險接連發生,為攻擊者提供了新的立足點。RiskIQ 已揭露在最受歡迎的遠端存取和周邊裝置當中數千個資訊安全風險實例,但接踵而至的龐大風險卻毫無減緩趨勢。在 2021 年,美國國家標準與技術委員會 (NIST) 回報了 18,378 筆隸屬上述類型的資訊安全風險。

受攻擊面隱身於顯而易見之處

人為操作的勒索軟體崛起後,安全性團隊已懂得防堵來自防火牆外且更聰明、更陰險的威脅。從登上頭條的網路攻擊事件 (例如 2020 年的 NOBELIUM 攻擊) 可以看出,供應鏈特別容易淪為攻擊對象。然而,威脅也有可能使用業務合作夥伴或受控和未受控應用程式等第三方做為入侵管道。多數組織都難以掌握自身網際網路資產的全貌,甚或了解這些項目與全球受攻擊面的關聯性。而下列三大資訊安全風險因素,更讓缺乏監控能力的窘境雪上加霜:

  • 影子 IT:未受管理或遭到遺棄的資產,已成為今日企業安全性的致命弱點。所謂的影子 IT 恰如其名,會躲藏於暗處,讓您的安全性團隊渾然不覺。RiskIQ 新客戶找到的資產數量,通常會比他們自認持有的數量多出 30% 左右,此外,RiskIQ 每分鐘都可偵測到 15 個過期的服務,以及 143 個開放連接埠。
  • 合併和併購 (M&A):一般的企業營運和重大計畫,例如合併和併購、策略性合作夥伴關係與外包等項目,都會建立和擴大外部受攻擊面。目前,將網路安全性盡職調查納入其中的合併和併購交易,僅占整體的不到 10%。
  • 供應鏈:現代化供應鏈容易造就複雜的第三方關係網路。而當中涉及的許多層面,皆不在安全性和風險團隊的掌握之中。正因如此,識別具有資訊安全風險的數位資產往往是一大挑戰。

由於欠缺這些隱藏相依性的監控能力,導致第三方攻擊成為威脅製造者最有效的攻擊媒介之一。事實上,53% 的組織至少經歷過一次由第三方引發的資料外洩。

一般應用程式可能會以組織及其客戶為目標

時至今日,美國人花費在行動裝置上的時間已超過現場直播電視節目的觀看時間。在此一需求下,行動應用程式的數量也隨之大增。在 2021 年,全球應用程式商店的下載金額已達 2,300 億美元之多。這些應用程式就如同雙面刃,雖有助於實現商務成果,但也會同時形成廣大且超出安全性團隊所及的受攻擊面。

威脅製造者向來擅於趁隙而入。只要一有漏洞,他們就會著手製作惡意應用程式,藉此冒充廣為人知的品牌,或假冒其他身分。某款極為熱門的惡意手電筒應用程式,就是相當值得關注的範例之一。一旦使用者不經意地下載了惡意應用程式,威脅製造者就能使用該應用程式部署網路釣魚詐騙,或將惡意程式碼上傳至使用者裝置中。RiskIQ 每隔五分鐘都能封鎖一款惡意行動應用程式。

敵人也有可能潛入至組織的受攻擊面中

今日的網際網路受攻擊面構成了一個錯綜複雜的生態系統,將所有人 (不分好壞) 包含於其中。現在,威脅群組會回收和共用基礎架構 (IP、網域和憑證),且互相借用惡意程式碼、網路釣魚套件與指令及控制 (C2) 元件等工具。犯罪軟體即服務 (CaaS) 的興起,提高了將犯罪歸咎於特定個人或族群的難度,畢竟,當中涉及的手法和基礎架構往往廣為眾多惡意人士所用。

每天偵測到的新惡意程式碼數量可達 560,000 件。光是 2020 年偵測到的惡意程式碼變體數量,就較前一年度增加了 74% 之多。現在,RiskIQ 每隔 49 分鐘,就會偵測到一個 Cobalt Strike C2 伺服器。基於上述種種原因,追蹤外部威脅基礎架構的重要性,絕不亞於追蹤您自身的威脅基礎架構。

未來展望

傳統安全性策略採深度防護機制,會從周邊開始著手,並反向層層堆砌,藉此保護內部資產。但在無所不在的連線現行環境中,使用者 (以及與日俱增的數位資產) 經常位於周邊以外的地點。正因如此,零信任安全性方法可提供最有效的策略,讓今日的非集中式企業高枕無憂。

如需深入了解,敬請閱讀外部網路受攻擊面解析:組織必須監控的五大要素。歡迎造訪 Microsoft 的 Security Insider,以了解具洞察力的文章、威脅報告和其他內容,隨時掌握不斷進化的安全性問題。

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。

更多故事