企業小心了！網路攻擊趨勢正在發生巨變

Emotet 和來自 Lapsus$ 的網路攻擊愈來愈盛行

今年 3 月初，日本獨立行政法人情報處理推進機構（IPA）宣布在 1 日至 8 日之間，一共發生了 323 起 Emotet 的惡意軟體攻擊事件。這個數字是上個月同期的「七倍」之多。

近來，夾帶有 Emotet 惡意軟體附件的郵件被寄送給許多日本企業。由於這些惡意軟體被壓縮加密過，因此即便企業內部有防毒軟體，也無法掃瞄出加密過的附件是惡意軟體。此外，也因為日本的企業文化習慣將檔案壓縮並加密過後寄出，所以許多公司早就習慣開啟郵件中的 zip 檔，這導致了此類病毒攻擊無往不利。有一間日本的大型企業甚至因為 Emotet 的攻擊而停工了好一陣子。

除了 Emotet 的攻擊事件外，一個名為 Lapsus$ 的網路犯罪組織最近也備受關注。Lapsus$ 擅長駭入公司的網路並竊取內部資料，並在得手後勒索公司鉅額贖金，如果公司拒絕支付，他們便會將這些機密資訊散布至網路上。Lapsus$ 在成功勒索並散布了許多國際知名企業的機密文件後，成為一個被大眾所知的犯罪集團。

這波網路攻擊和之前有什麼不同？

上述的這些攻擊手法其實很常見。Emotet 僅是將惡意軟體透過 Email 附件寄出，而 Lapsus$ 主要透過社交工程（Social Engineering）獲取有用的存取資訊。然而事實上，這些攻擊和過去相比有一個非常大的不同，那就是這些攻擊之所以能夠成功，是因為攻擊了商業結構中最脆弱的部分。知名企業是經由合作公司的感染而深受 Emotet 攻擊之苦；跨國公司則是因為針對外包人員的社交工程才受到 Lapsus$ 的惡意攻擊。

許多企業試圖增強自己的安全措施以確保公司自身在任何情況下都能安全無虞。但如今商業環境有賴多間企業共同合作才能順利運作，因此光是強化企業自身的資安是不夠的，最安全的做法應該是確保所有相關企業皆有足夠的安全措施。

這意味著即使是中小企業也必須符合一定程度的資安要求，才能與大型企業合作或成為其供應商。除此之外，如果大型企業的許多業務是外包的，為了確保安全，企業也得對外包公司的資訊安全性負起責任。

是時候考慮「零信任安全」了

零信任安全的核心概念是「永不信任，一律驗證」（never trust, always verify）。舉例來說，如果有使用者想要透過內網存取內部的資料，通常會推定該使用者是內部人員所以給予權限。但是如果站在「永不信任，一律驗證」的角度，即便使用者來自公司內部網路，仍然需要經過驗證才能存取內部資訊。

多因素驗證（MFA）是實現零信任非常有效的方式，因為除了帳號密碼以外，還可以透過行動裝置等其他因素驗證。也就是說，即便今天有一位駭客獲取了登入的帳號密碼，除非他也得到有效的行動裝置，否則他無法成功駭入。

惡名昭彰的駭客組織經常試圖尋找商業系統中的漏洞，而如今那些難以達到高強度資安水準的合作公司或外包廠商就成了最明顯的目標。我相信很快地就會有愈來愈多企業要求合作或外包的公司需要配合達到一定標準的資安強度。因此中小企業也需要持續加強自身的資安才能維繫累積至今的商業往來，而導入零信任安全架構將會是提升資安強度的關鍵。