什麼是威脅向量(Threat Vector)?
網路安全威脅向量(媒介),或稱攻擊向量(attack vector,也稱攻擊媒介),是網路犯罪者用來非法且未經授權存取電腦和網路系統的方法或機制。不同類型的攻擊者使用網路安全威脅向量的動機各異。
擅於利用網路安全威脅向量的網路犯罪者包括:
- 個人駭客
- 心懷不滿的前員工
- 政治動機團體
- 激進駭客
- 網路犯罪集團
- 國家資助的團體
利用威脅向量(媒介)成功滲透之後,網路犯罪者可能會使用其他向量犯下更多罪行,例如:
- 竊取有價值的資訊 (如登入憑證、個人身分資訊 (PII)、受保護的健康資訊 (PHI)、商業機密、財務資料)
- 發動勒索軟體進行敲詐
- 破壞系統
- 造成系統故障
- 控制系統
網路安全威脅向量(媒介)的例子有很多,其中絕大多數可分成主動和被動兩大類。
舉例來說,利用方法存取系統,但不會影響到系統資源的即屬被動式網路安全威脅向量,例如網路釣魚、假托(假冒)、下餌、搭順風車、尾隨等其他社交工程向量(媒介)。
相反地,主動式網路威脅向量(媒介)的例子具有一個共通的破壞特性;它們會試圖改變系統或影響其運作。範例包括惡意軟體、勒索軟體、利用未修補的漏洞、電子郵件詐騙、中間人攻擊和阻斷式服務 (DoS) 攻擊。
為什麼了解威脅向量(Threat Vector)很重要
網路攻擊不斷造成重大損失和破壞。了解網路安全威脅向量(媒介)可加深對於電腦系統及網路進入點的認識。這些資訊除了有助於補救漏洞及封住破口,還能突顯攻擊面的規模,進而找出可消除的區域以縮小攻擊面。
主動瞭解網路安全威脅向量(媒介)可有效大幅降低風險,因為網路攻擊大多會採取阻力最小的路徑,以常被輕忽的已知向量(媒介)為攻擊目標。
威脅向量的範例及其緩解方式
路過式下載(隱藏式下載或偷渡式下載)攻擊
路過式下載會趁著使用者瀏覽網頁時感染裝置,即使是合法或可信任的網站也不例外。倘若使用者的瀏覽器存在可插入惡意軟體的漏洞,網路犯罪者即可利用該漏洞來發動此威脅向量。
使用者按下連結、彈出視窗或廣告時,惡意軟體就會下載到裝置上。使用者會被引誘去點選特惠情報、警告訊息及更新警示。
組織如何防範這些威脅向量(媒介)的例子包括:
- 部署可主動偵測並回應威脅的安全工具,例如新一代防火牆 (NGFW)、端點偵測與回應 (EDR) 及網路偵測與回應 (NDR)。
- 直接向供應商取得更新,確保瀏覽器和外掛程式保持最新狀態。
- 訓練使用者如何辨識,不要點選網站上可疑的彈出視窗和廣告。
內部威脅
內部威脅可分為惡意或疏忽。惡意內部人員是具備內部存取權的使用者,例如現任員工、前員工或合作夥伴,他們利用自己的存取權來攻擊組織。由於惡意內部人員有存取權且熟知資料和系統的位置,是網路安全威脅向量(媒介)中特別棘手的例子。他們竊取資料的目的通常是為了謀取金錢利益,或想藉由曝光資料來傷害組織的聲譽。
儘管疏忽的內部人員並非有意造成傷害,但仍是很麻煩的網路安全威脅向量(媒介)例子。疏忽的內部人員大多是因為犯錯而引發安全問題,例如洩露自己的密碼或使用公共 Wi-Fi 或虛擬私人網路 (VPN) 連線上網。
組織如何防範內部威脅的例子包括:
- 注意不滿的員工,密切監視他們每一部裝置的資料和網路存取情況。
- 持續教育並提醒內部人員遵守安全最佳做法,宣導其優點所在。
- 禁止連接可移除式媒體(例如:USB隨身碟)或將資料複製到可移除式裝置上。
- 使用 NDR(Network Detection and Response,網路偵測與回應) 偵測異常行為,例如在非正常時間存取系統或有大量資料外流。
惡意軟體
惡意軟體 (Malware) 是 malicious software 的簡稱。它用來描述專門為了攻擊而設計的軟體。
常見的惡意軟體類網路安全威脅向量(媒介)的例子包括勒索軟體、間諜軟體、蠕蟲、特洛伊木馬攻擊和病毒。
惡意軟體可用來未經授權存取系統及網路,唯一的目的就是製造麻煩,從竊取敏感資料到干擾營運都有可能。
組織如何防範這些威脅向量的例子包括:
- 實行沙箱(Sandbox)或防火牆(Firewall),將資料與應用程式隔開。
- 認識攻擊的特徵。
- 使用防毒或防惡意軟體工具來偵測並阻擋威脅向量(媒介)。
錯誤設定
與錯誤設定相關的網路安全威脅向量例子有很多。在啟用設定頁面、使用者使用預設的使用者名稱和密碼,或是在 Amazon Web Services(AWS)、Google Cloud Platform(GCP) 和 Microsoft Azure 等雲端服務設定出錯時所造成的錯誤設定,可能會助長威脅向量的攻勢。
組織如何防範錯誤設定的例子包括:
- 建立並強制執行加強控管設定流程的程序。
- 監控應用程式和裝置設定。
- 盡可能落實自動化。
缺少加密或加密不當
如果加密實施不當或完全沒有實施加密,會導致網路安全威脅向量(媒介)倍增。未經適當加密的敏感資訊很容易遭到攻擊。資料在傳輸期間可能會被竊取 (如中間人攻擊),或網路犯罪者可能會竊取靜態儲存的資料。
組織如何防範缺少加密或加密不當的例子包括:
- 避免認定遵循法遵準則就等於已採用適當的加密措施。
- 不要依賴低階加密保護敏感資料。
- 務必加密靜態、傳輸和處理中的敏感資料。
- 採用高強度的加密方法。
弱密碼、受感染或遭竊認證
認證暴露仍是網路安全威脅向量(媒介)最主要的例子之一。強度過弱和重複使用的密碼會導致使用者的登入認證很容易淪為網路犯罪者的攻擊目標,進而利用該認證來存取系統、應用程式和網路,而後在受管理裝置及物聯網 (IoT) 裝置間發動惡意傳播。
目前最常見的存取認證類型還是使用者名稱和密碼。它們非常容易受到網路釣魚詐騙和惡意軟體等威脅向量(媒介)的攻擊,也經常暴露給第三方,例如行動應用程式和網站。無論認證是否薄弱,還是網路攻擊者推斷出認證,或認證遺失或遭竊與否,結果都是一樣的,惡意人士終將取得未經授權的存取權,並以此做為提升其在網路內權限的起點。
值得注意的是,認證持有者並不限於真人。伺服器、網路裝置,甚至是安全工具也常會在裝置間相互整合或通訊的過程中使用認證。這些機器對機器的認證特別危險,因為它們可用來進行整個企業內的垂直或水平移動。IoT 裝置向來因為認證薄弱而為人所詬病,經常淪為攻擊目標。
組織如何防範這些威脅向量的例子包括:
- 持續監控是否有資料曝光、外洩或受感染的認證。
- 禁止跟其他服務分享密碼。
- 禁止重複使用密碼來存取多個應用程式和系統。
- 教育使用者使用良好認證的風險及重要性。
- 採行結合生物辨識驗證的多因子驗證(二階段驗證或多重驗證)。
- 實行高強度的密碼要求並強制執行之。
- 使用單一登入工具。
網路釣魚
與網路釣魚相關的網路安全威脅向量(媒介)例子有很多。網路釣魚是一種社交工程攻擊手法,利用電子郵件、簡訊或電話進行攻擊。攻擊者偽裝成受信任的發訊者,誘騙目標分享敏感資訊 (如登入認證、財務資訊、信用卡等詳細資料)。
網路釣魚訊息有時會引誘人們口頭分享資訊。其他方法則會誘騙目標點選惡意連結。
網路釣魚是最有效的網路安全威脅向量(媒介)之一;它利用的是人性的弱點,甚至最精密的網路防禦系統也難以抵擋。
組織如何防範網路釣魚的例子包括:
- 阻擋惡意網站。
- 執行網路釣魚演練。
- 部署具備惡意軟體偵測及威脅情報功能的新一代防火牆 (NGFW)。
- 教育員工如何識別網路釣魚訊息。
- 安裝端點偵測與回應 (EDR) 解決方案。
- 持續修補和更新軟體。
- 監控並追蹤使用者的網頁瀏覽和電子郵件點擊行為。
- 要求使用多因子驗證 (MFA,二階段驗證或雙重驗證)。
- 使用垃圾郵件過濾器。
勒索軟體
勒索軟體是一種惡意軟體,它會對系統進行加密使其無法存取。之後網路犯罪者會威脅受害者須支付贖金,否則便會刪除或曝光系統上的資料。
勒索軟體類的網路安全威脅向量例子比比皆是。勒索軟體的散播及啟動方法與惡意軟體和網路釣魚相同。此威脅向量的威力和成效俱佳,持續脅迫著各種規模的組織。
組織如何防範勒索軟體的例子包括:
- 持續修補和更新軟體。
- 遵循用於惡意軟體和網路釣魚的所有通訊協定。
遠端存取服務
遠端存取服務是網路安全威脅向量(媒介)的例子,可將重要的生產力工具轉變成網路犯罪者的潛在進入點。這些解決方案可讓使用者連接到遠端系統和網路。
遠端存取服務的例子包括虛擬私人網路 (VPN) 和 Windows 遠端桌面服務。這些解決方案可讓使用者透過另一部裝置存取其工作站,但網路犯罪者也有可能會偵測到並利用該裝置。一旦發現遠端存取點,網路犯罪者即可駭入連線 (如使用暴力攻擊、利用錯誤設定和漏洞)。
組織如何防範這些威脅向量的例子包括:
- 僅允許真正有需要的使用者進行遠端存取。
- 確保遠端存取服務是最新的。
- 要求使用高強度密碼。
- 設定帳戶鎖定原則。
- 使用多因子驗證(二階段驗證或雙重驗證)。
可移除式媒體
可移除式媒體(例如:USB隨身碟)是歷史較為悠久的網路安全威脅向量(媒介)例子;從磁碟片一路到隨身碟,此威脅向量(媒介)存在已久。資料一旦複製到可移除式媒體之後,即有遭到攔截或未經授權取用的風險。由於可移除式媒體小巧且方便攜帶,十分容易遺失、遭竊或用來外洩資料。
從很早開始,可移除式媒體便被用來散佈惡意軟體。1989 年,有人用軟碟傳遞第一個已知的勒索軟體。一張標示為「AIDS Information Introductory Diskette」的磁碟片裡含有一個名為 PC Cyborg 特洛伊木馬程式的 DOS 木馬病毒,這張磁碟片被廣發給郵寄清單中的多位收件人。啟動這張磁碟片時,惡意軟體會加密使用者 C 槽內的所有目錄名稱。
隨身碟和其他可移除式媒體仍然是惡意軟體的傳遞媒介。組織如何防範這些威脅向量的例子包括:
- 停用可移除式媒體的自動執行 (AutoRun) 功能。
- 禁止可移除式媒體未經要求即連線至網路。
- 設定自動對可移除式媒體進行惡意軟體掃描,掃描完成後才能允許連接。
威脅向量(媒介)常見問答集
利用網路安全威脅向量(媒介)發動攻擊的例子有哪些?
- 暴力攻擊(暴力破解)
- 跨站腳本攻擊 (XSS)
- 中間人攻擊
- 連線劫持(Session Hijack)
- SQL (結構化查詢語言) 注入式攻擊(SQL injection)
- 特洛伊木馬攻擊
- 蠕蟲
- 零時差攻擊
攻擊向量(媒介)和攻擊面有什麼差別?
網路安全攻擊會利用攻擊向量(媒介)對系統或網路進行未經授權存取。攻擊面則是指網路犯罪者可存取到的攻擊向量數目。
最常被用來當作網路安全威脅向量(媒介)的例子有哪些?
- 電子郵件
- 行動裝置
- 網路
- 遠端存取入口網站
- 使用者
- Web 應用程式
網路犯罪者是如何使用網路安全威脅向量(媒介)?
- 找定目標並尋找適用的威脅向量(媒介)
- 收集有關目標和威脅向量(媒介)的資訊
- 利用這些資訊確認發動攻擊所需的其他工具
- Gains access, then
- 竊取資料
- 安裝惡意程式碼
- 繼續隱藏,觀察未來值得竊取的資訊
- 利用命令和控制伺服器來掌控受感染的系統
- 擷取或加密資料以做為勒贖的籌碼
了解網路安全威脅向量(媒介)以利有效防禦
網路犯罪分子形形色色,而且各懷鬼胎、鍥而不捨且數量龐大。這些犯罪者日復一日的證明自己有本事閃避網路防禦,即使在最精進的組織中也能得逞。網路安全威脅向量的例子有很多,但安全人員還是有必要加以研究並理解,才能更有效的指導其防禦策略,保護敏感應用程式、資料和網路的安全。
一旦充分了解威脅向量(媒介),就能更輕鬆且更有效率的對企業攻擊面的特定領域實行目標式防禦。儘管做生意勢必伴隨一定程度的風險,網路安全專家仍然將企業內的社群化威脅向量(媒介)範例視為最佳做法。
