◎周裕華
近日台劇《零日攻擊》舉行記者會,以台海戰爭為主題,描述台海戰爭威脅下,台灣社會的困境,以及社會上不同角色對戰爭的態度。「零日攻擊」(Zero Day of Attack)這個詞在近日釋出的前導片中,被用作為Zero Day 攻擊日,是劇中模擬軍隊登陸台灣的行動日。事實上「零日攻擊」這個詞,在資安領域中並不陌生,甚至常見的軟體與基礎設施,都可能遭受過「零日攻擊」的威脅。
近日台劇《零日攻擊》舉行記者會,以台海戰爭為主題,描述台海戰爭威脅下,台灣社會的困境,以及社會上不同角色對戰爭的態度。(圖片來源:零日攻擊 ZERO DAY臉書)
零日攻擊是什麼?
零日攻擊,在台灣又稱為零時差攻擊(Zero-Day Attack),是指攻擊者發現軟體或是基礎設施的安全漏洞後,利用此漏洞來發動攻擊。
這種漏洞又被稱作為零時差漏洞(Zero-Day Vulnerability),是軟體或系統中尚未被修補,且造成安全風險的錯誤。時間強調是「零時差」、「零日」,是在形容由於漏洞已被攻擊者發現,因此團隊修補程式漏洞與攻擊者針對漏洞發動攻擊幾乎是零時差的,是一場針對安全漏洞的攻守大戰。
常見的零時差攻擊手法可能隱藏於惡意檔案、圖片當中,也可能經由網路釣魚(phishing)誘使人們暴露在零時差攻擊的風險當中。
零時差攻擊可能出現在哪?跟戰爭又有什麼關係?
事實上,零時差攻擊很可能出現於金融機構、科技公司甚至是政府的基礎建設。造成的損害可能包含信用卡資料外洩、個人敏感資訊洩露,在國家層級甚至可能影響電力設施、交通運輸,最嚴重更會導致核電危機。
還記得之前各大廣告媒體被攻擊,並被植入誤導國家安全的內容嗎?也許因為看起來不會直接影響到個人,所以我們還認為網路攻擊不痛不癢。但實際上,這些潛伏已久的威脅,只是尚未被發現而已。如同夏天常見的白蟻,現階段只造成表層的破壞,但當整個木製家具崩解後,才發現這些表層的破壞潛藏著不堪設想的嚴重後果。在平時,零時差攻擊是對企業造成商業損失;在戰時,敵軍透過零時差攻擊就可能癱瘓基礎設施,讓人民日常生活受到廣大影響,甚至是像《零日攻擊》前導片中釋出的片段那樣,盜入第四台系統來散布錯假訊息,混淆民眾視聽。
關鍵基礎建設的可靠性與不可替代性至關重要。當紅綠燈無法控制,交通將陷入混亂;當醫療系統遭到駭客入侵,人民健康將備受威脅;當政府公告的訊息被惡意竄改,社會將陷入恐慌;當最基本的生活需求變得不可控,打開燈卻沒有電、打開水龍頭卻沒有水,這些原本理所當然的事情變得遙不可及——我們真的要等到問題發生後才回頭檢視嗎?
我們應該怎麼防範零日攻擊?
面對不斷提升的網路安全風險,我們該如何防範零時差攻擊?正如上述所說,零時差攻擊仰賴的是組織軟體及系統的「漏洞」,而漏洞又分為「已知」與「未知」兩種。「已知」漏洞為廠商已經掌握,但當下尚無法提供修補、緩解方式的漏洞;而很大一部分的攻擊則是針對「未知」漏洞,因為在漏洞尚未被掌握前,很多安全防護是無法主動偵測防護的。
有心人士可以透過各種嵌入惡意程式碼的手法,藉此讓用戶在開啟文件後,執行下載惡意程式的動作等行為,或是把各種可執行的腳本程序嵌在檔案中,趁機利用主機未修補的漏洞等,來間接產生傷害。
針對此類攻擊,我身為資安公司技術顧問建議企業與用戶要有以下幾種概念:
• 秉持著「不信任任何檔案」的理念:在日常生活,我們會對陌生人保有戒心,在網路世界中也該如此。面對陌生的連結、檔案,甚至是QR code ,都應該假設他們帶有威脅,才能最大程度地避免攻擊發生。
• 定時更新和修補系統:軟體或系統長期未更新與維護,會讓攻擊者有機可乘。透過不斷更新軟體,已知的漏洞會被修補,攻擊者就不能輕易入侵。
• 以預防代替檢測:傳統的資安防護概念是利用單一防毒軟體來「檢測」惡意威脅;然而,新時代的資安防護必須依賴更主動、積極的解決方案。因此,我們要用「預防」的概念來面對可能的威脅,只容許檢查過、確定安全的檔案才可以進入乾淨、安全的內部網路系統。
• 對所有必要性系統,限縮網路訪問條件 (零信任):許多零時差攻擊利用已知弱點進行攻擊,在穿透了這些弱點後,需要進行載核(Payload)的置入來進行更深入階段的攻擊,在零信任的觀念中具有許多不同的維度我們需要進行考量,包含檔案、網路、遠端存取等控制的必要點。
具體來說,我們不能僅僅依靠筆電或電腦中的「單一」的防毒引擎來偵測惡意軟體。因為一旦爆發零時差攻擊,「防護時間」將成為關鍵。因此,擁有 Multiscanning(多防毒引擎)技術會是關鍵。整合多防毒引擎對檔案進行掃描,才能有效避免單一引擎的區域與技術限制,在重大弱點發生時,來自不同時區、國家以及觀點的防毒引擎設計,能提供快速應變的措施。
基於零信任理念的Deep CDR(深度檔案無毒化)則是防範零時差攻擊的有效解決方案。Deep CDR(深度檔案無毒化)的核心理念是「不信任任何外部檔案」。因此,在檔案傳輸之前,必須找出檔案中隱含的威脅,徹底清洗後,重組成一個乾淨無虞的檔案,才允許其進入組織。就像在疫情期間,某些地方為確保內部環境始終保持安全,會要求我們使用「快篩」和「PCR」確認沒有染疫後才可進入。
面對潛在攻擊的威脅,資安的角色已不再是過去的守門員,唯有建立完善的資安防護體系,隨時準備應對滲透與威脅的風險,才能在這場資訊戰中立於不敗之地,保障個人與組織的安全。
(作者為OPSWAT的北亞區技術顧問)
自由開講》是一個提供民眾對話的電子論壇,不論是對政治、經濟或社會、文化等新聞議題,有意見想表達、有話不吐不快,都歡迎你熱烈投稿。請勿一稿多投,文長700字內為優,來稿請附真實姓名(必寫。有筆名請另註)、職業、聯絡電話、E─mail帳號。本報有錄取及刪修權,不付稿酬;錄用與否將不另行通知。投稿信箱:LTNTALK@gmail.com
編輯精選
自由評論網粉絲團