作者: Barracuda Networks 亞太區副總裁 James Forbes-May
最近,據稱有不法分子利用程式向香港大型銀行進行「銀行識別碼攻擊」 (BIN Attack),以隨機方式盜用受害人信用卡資料作未經授權的小額交易。以上的攻擊手法其實是網絡安全範疇常見的密碼暴力攻擊 (Brute-force attack) 的其中一種,透過掃描網絡上的漏洞來進行暴力破解,即使在非常關注網絡安全的現今世代,這類攻擊依然十分受黑客青睞,亦相信 2023 年將有更多密碼暴力攻擊。企業能透過限制存取的地區、使用 VPN 和設立多重因素認證 (MFA) 等措施來減低成功入侵的機率。
不過,即使現時不同的系統已廣泛採用 MFA,但依然有潛在風險,黑客可透過系統機制,不斷發出 MFA 的登入核准通知,令用家應接不暇而誤按登入許可,形成「MFA 疲勞攻擊」,而一次性密碼 (TOTP) 亦有機會因社交工程攻擊而暴露。黑客往往透過這些的手段來破解身份認證,從而接管受害人的帳號,進一步透過各種攻擊手法造成金錢及商譽上的損失。相信 2023 年企業更需要多花心思,重新審視現行的身份認證機制,例如轉用無密碼驗證和 FIDO U2F (通用第二因素)單一認證保安鎖匙技術,更可考慮採用流行的「零信任概念」來協助處理正當存取權限和隱形網絡威脅。
而在企業系統層面最關心的,應該是近年最具威脅的勒索軟件及供應鏈攻擊,相信在 2023年依然持續。現時雲端服務應用甚廣,不論個人或是企業均有採用雲端服務,勝在網絡系統更易擴展和架建便利。但對於黑客而言,雲端服務加上遙距工作等令網絡攻擊面擴大,趁著將網絡攻擊工具化,轉化成「即服務」模式來進行勒索軟件及供應鏈攻擊,進一步令網絡安全系統混淆,更易成功混入,造成更大傷害。企業應透過結合人工智能 (AI) 和人手監控偵測,在減少誤報之餘亦有自動化 SOAR (網絡保安協調、自動化和回應)機制來應對這些網絡攻擊。
值得一提的是,近年國際間的衝突持續,可見 2023 年這些地緣政治衝突引起的網絡戰會繼續出現,亦令惡意軟件用途更廣泛,懷有政治動機的黑客會尋求更多手段發動攻勢。企業要做好準備,隨時面對攻擊所帶來的嚴重破壞,並要為整個系統恢復進行詳細計劃,以及持續進行員工網絡安全意識培訓,務求盡量減少遭受網絡釣魚、網絡詐騙和其他社交工程攻擊這些人為風險。