PDF《是时候了：》

是时候了: 资安情势演变已迫使威胁因应策 略面临调整 内容 资料外泄事件剖析

4 Pawn Storm 零时差漏洞 与其他漏洞

7 深层网路 (Deep Web) 与 地下市场

10 智慧科技噩梦

13 Angler:漏洞攻击套件之王

15 挟持资料进行勒索

18 破获 DRIDEX 仆

21 威胁情势回顾

23 趋势科技法律免责声明 本文之内容仅供一般资讯及教育用途.

不作为也不 应视为法律谘询建议.本文之内容可能不适用於所 有情况,也可能未反映出最新的情势.在未就特定 事实或所呈现之情况而徵询法律建议之前,不应直 接采信本文之所有内容或采取行动.趋势科技保留 随时修改本文内容而不事先知会之权利. 所有翻译成其他语言之内容仅供阅读之方便.翻译 之准确性无法保证.若有任何关於翻译准确性的问 题,请参考本文件原始语言的官方版本.任何翻译 上的不一致与差异皆不具约束力,且在法规与执法 上不具法律效力. 尽管趋势科技已尽合理之努力确保本文内容之准确 性与时效性,但趋势科技对其准确性、时效性与完 整性不提供任何担保或声明.在您存取、使用及采 纳这份文件内容时,即同意自行承担任何风险.趋 势科技不提供任何形态之担保,不论明示或隐含之 担保.趋势科技或建立、制作或供应此文件之任何 相关对象,对於存取、使用、无法使用、因使用本 文、因本文内容之错误或遗漏而引起之任何后果、 损失、伤害皆不承担责任,包括直接、间接、特殊、连带、营利损失或特殊损害赔偿.使用本文之 资讯即代表接受本文之「原貌」. 随著新科技的问世以及

2015 年骇客攻击模式的发展,2016 年即将面 临一个层面更深、围更广的资安威胁情势.2015 年的科技发展, 可说是塑造了今日网路安全的现况. 近来,骇客再度翻新作案手法,使得原本熟悉的资安挑战变得更加棘 手.例如,资料外泄的后续效应已不再局限於资料外流而已,歹徒还 会利用外流的资料来从事进一步的诈骗.此外,零时差漏洞攻击的数 量依然居高不下,再加上漏洞攻击套件的不断强化,也让骇客的网路 间谍行动 (如Pawn Storm) 不断得逞. 全球各地网路犯罪地下市场依然蓬勃发展,不论深度与广度都持续增 加,各种不同的商品纷纷出炉:网路犯罪工具、入口网站、网路犯罪 训练课程等等,满足了各种不同市场的当地需求.新的市集如雨后春 笋不断冒出,而原本成熟的市集则开始转进黑暗网路与深层网路 (Deep Web). 随著

2015 年的科技发展,骇客的攻击面也更加扩大,其中最主要的 因素之一就是物联网 (IoT) 的加速普及.智慧装置的安全性从一开始 就是企业头痛的问题.过去几个月来,骇客成功骇入智慧装置的案例 更是屡见不鲜,照这样下去,骇客迟早会找出利用这些漏洞发动大规 模攻击的方法. 是时候了:在这样的情况下,尤其正值您制定未来企业重大资安策略 的关键时刻,传统的资料与资产保护方法,或许该好好重新检讨一番 了.

4 | 是时候了:资安情势演变已迫使威胁因应策略面临调整 资料外泄事件剖析

2015 年,多家知名机构皆发生了严重的资料外泄事件,导致客户和员工因为重要资料外流而陷入危险.尽管 这类大规模事件目前大家已经司空见惯,但我们却注意到有越来越多的骇客开始利用这些外流的资料来从事 进一步的网路勒索和攻击. 例如,全球知名偷情网站 Ashley Madison 资料外泄事件的受害者,就收到了歹徒的恐吓信1,要求他们支付 一笔赎金,否则就要揭发他们的偷情行为.像这样的案例,在该网站泄漏了 3,000 万笔会员资料之后没几天 就纷纷开始出现

2、3. 义大利的一家骇客公司 Hacking Team 自己也成了大规模资料外泄的受害者.歹徒从该公司窃取了大约

400 GB 的电子邮件和文件资料,并且将资料公布在网路上4,其中包含多项零时差漏洞与漏洞攻击的技术资料. 这让其他骇客因而进一步利用这些情报来攻击韩国和日本的一些机构,并且入侵了台湾和香港的网站5.

2015 年,医疗产业在资料外泄方面同样不得安宁.美国医疗保险公司伟彭 (Anthem) 外泄了大约 8,000 万 名客户的重要医疗资讯,包括:姓名、住址、生日、收入状况、社会安全号码等等.一个月后,又有另一家 医疗保险公司 Premera Blue Cross6 也同样发生了大规模的资料外泄事件,导致 1,100 万名客户的银行帐号和 其他敏感资料 (如治疗记录) 遭到外流. 此外,资料外泄事件也升高到了联邦政府层次.美国人事管理局 (U.S. Office of Personal Management,简称OPM) 在两起独立的外泄事件当中,总共大约失窃了 2,150 万笔的资料7.其中包括:就业记录、住址、医 疗和财务记录,甚至还有大约

560 万名联邦政府员工的指纹记录8. 这些重大的事件与我们对资料外泄的分析不谋而合.我们在一篇名为「跟著资料循线追查:解构资料外泄事 件及破除迷思」9 的研究报告当中指出,医疗机构和政府机关是资料外泄最严重的两大产业.其他受害的产 业还有:教育、零售和金融.

5 | 是时候了:资安情势演变已迫使威胁因应策略面临调整

2015 年最大的资料外泄事件 七月 一月 二月 十二月 八月 九月 十月 十一月 六月 五月 四月 三月 医疗 政府 IT 商业 商务服务 伟彭 (Anthem)

2 月10 日8,000 万笔 (个人资讯) Premera Blue Cross

3 月20 日1,100 万笔 (个人资讯和财务资料) 日本年金机构

6 月1日100 万笔 (个人资讯) Scottrade

10 月1日460 万笔 (个人资讯) Excellsus BlueCross BlueShield

9 月10 日1,000 万笔 (个人资讯和财务资料) Brian Kemp (美国乔治亚州州务卿)

11 月18 日600 万笔 (个人资讯) Hacking Team

7 月7日数量不明 (商业机密) CareFirst BlueCross BlueShield

5 月20 日110 万笔 (个人资讯) 美国华盛顿特区国税局 (IRS)

5 月26 日10 万笔 (财务资料) 美国人事管理局 (OPM)

6 月4日2,150 万笔 (个人资讯) Ashley Madison

7 月21 日3,700 万笔 (个人资讯) Systema Software

9 月21 日150 万笔 (医疗记录) Experian

10 月1日1,500 万笔 (个人资讯) Vtech

11 月30 日640 万笔 (电子邮件地址) UCLA Health System

5 月5日450 万笔 (个人资讯和医疗记录)

6 | 是时候了:资安情势演变已迫使威胁因应策略面临调整 医疗产业是资料外泄最严重的产业. 美国境内发生的资料外泄当中大约有 41% 是因为装置遗失/失窃所引起.这样的情况可透过远端装置清除、 磁碟加密、采用虚拟基础架构,或是强制实行更严格的政策来解决.但对於恶意程式和骇客入侵所引起的问 题,则需仰赖入侵侦测和网路防护解决方案. 系统管理员和 IT 主管需要可监控所有连接埠网路流量以发掘任何异常状况并预先阻断骇客行动的解决方案. 此外,客制化的沙盒模拟分析也可以让他们具备侦测恶意程式、发现幕后通讯 (C&

C) 活动,并且锁定其他攻 击前奏或持续攻击徵兆的能力. 医疗 教育 政府 零售 金融 服务 银行 科技 保险 媒体 其他 26.9% 16.8% 15.9% 12.5% 9.2% 3.5% 2.8% 2.6% 1.6% 1.4% 6.8%

7 | 是时候了:资安情势演变已迫使威胁因应策略面临调整 Pawn Storm 零时差漏洞 与其他漏洞 根颐嵌 Pawn Storm 网路间谍行动的长期监控10,........