2024年,網路安全公司Dark Reading報告揭露了各類網路攻擊、安全漏洞。並列舉了企業應該做好應對及準備的10大新興威脅,正如網路安全專家Jason Clark 博士在Dark Reading 網路研討會上詳細介紹「每個企業都應該知道的10 大新興漏洞」,這些安全威脅將在2025 年不斷的發展與崛起。以下為2025年十大網路安全威脅:
1.零時差攻擊漏洞激增(Zero-Day Exploits)
零時差漏洞及其在網路安全領域激增是特別令人擔憂的趨勢,因為當這些漏洞被發現時,並未立即修補程式。在組織或企業尚未採取防護措施時,攻擊者就能夠利用這些未被發現的漏洞來攻擊系統。
近年來備受關注的零時差漏洞包括 Log4Shell(編號為 CVE-2021-44228),這是Log4j的Java命名和目錄介面 (JNDI)中的一個嚴重的遠端程式碼執行(Remote Code Execution,RCE) 漏洞。透過利用此漏洞,攻擊者可以輕鬆控制易受攻擊的系統,這是一個相當大的威脅,因為幾乎每個Java應用程式都使用 Log4j。網路安全專家Clark表示,其他漏洞包括PrintNightmare和Proxyshell,這兩個遠端執行漏洞都被迅速且廣泛地利用。
網路安全專家Clark在 Dark Reading 網路研討會上表示:「零時差漏洞的增加在一定程度上是由更加複雜的威脅行為者推動的」。然而,Critical Start 的網路安全事件應變團隊 ( (Computer Security Incident Response Team,CSIRT)管理者Chad Graham認為,人工智慧的進步將在 2025年改變此一格局。Chad Graham:「攻擊者和防御者都將依靠人工智慧工具來自動搜尋隱藏的軟體缺陷」。「這種轉變可能會導致網路安全格局更加動態,持續創新和適應將成為常態」。
2.深化供應鏈攻擊(Supply Chain Attacks)
供應鏈攻擊至今仍然是一個相當活躍的威脅,而且隨著其影響力蔓延到多方:客戶、供應商和其他第三方,其攻擊趨於嚴重。攻擊者利用可信任資源,最終不僅獲得對一個組織的存取權,而且獲得對多個組織的存取權。隨著企業越來越依賴外包服務,此類威脅仍然令人擔憂。
最著名的例子是SolarWinds系統入侵事件,這次事件影響了SolarWinds Orion 系統,而攻擊者是一個名為Nobelium的組織。超過30,000 個組織(包括美國各州和聯邦機構)使用了Orion網路管理系統,導致後門惡意軟體危及數千個資料、網路和系統。此驗證繞過漏洞編號為CVE-2020-10148,CVSS評分為 9.8,允許未經驗證的攻擊者執行API指令。涉事攻擊者是進階持續性威脅 (APT)行為者,他們滲透到SolarWinds的供應鏈中並插入後門。
網路安全專家Clark在網路研討會上表示:「現代供應鏈的複雜性使得確保所有依賴關係變得頗具挑戰性」。「這強調了嚴格的第三方風險管理的必要性」。AvePoint 首席風險、隱私和資訊安全長Dana Simberkoff認為,在未來的一年裡,人們將更加關注供應鏈和第三方風險管理。Simberkoff 說:「CrowdStrike事件不僅僅是一個警鐘亦是一個嚴峻的提醒與挑戰,在相互關聯的生態系統中,一個薄弱環節可能引發災難性的連鎖反應」。
3.遠距工作基礎設施漏洞攻击(Remote Work Infrastructure Exploits)
自2020年COVID-19疫情爆發以來,各組織紛紛轉向遠端和混合工作方式,這增加了網路安全威脅的風險,並成為一個重大隱患。攻擊者專注於允許使用者參與遠端工作的漏洞,例如VPN、遠端桌面協定(Remote Desktop Protocol, RDP)以及透過Zoom、Microsoft Teams、Google Meet等平台進行網路釣魚攻擊。已有幾起值得注意的事件,其中VPN和RDP被利用,使威脅行為者能夠存取企業系統和網路。此外,遠端工作人員通常在安全性較差的環境中工作,威脅行為者試圖利用這些盲點,從而導致網路釣魚攻擊增加。網路安全專家Clark在網路研討會上表示:「遠端辦公的轉變擴大了整體攻擊面。遠端工作者通常需要比現場工作者更多的安全控制,這可能會導致嚴重的漏洞」。
遠端和混合式工作漏洞的最新範例包括CVE-2024-38199(Windows 或行式印表機守護程式(LPD) 服務中的遠端程式碼執行漏洞(RCE))和CVE-2024-21433(Windows 列印後台處理程序特權提升)脆弱性。SlashNext Email Security+ 現場首席技術長Stephen Kowski表示:「到2025年,遠端工作基礎設施將繼續成為網路犯罪分子的主要目標,針對雲端服務、VPN和協作工具的複雜攻擊將會增加」。「未來可能會看到更多藉由人工智慧驅動的威脅,旨在繞過傳統安全措施,利用互聯設備和家庭網路中的漏洞」。
4.人工智慧和機器學習系統的濫用(Exploitation of AI and Machine Learning Systems)
隨著人工智慧(Artificial Intelligence, AI)的興起及廣泛應用,攻擊者利用的風險也隨之增加。網路安全專家Clark指出,對抗性攻擊、資料中毒和模型反轉攻擊是人工智慧和機器學習 ( Machine Learning, ML) 系統面臨的最主要的新興威脅。一些機器學習系統的本質要求向系統提供資訊以獲得最佳結果,並且系統會隨著時間的推移越來越熟悉使用者。當攻擊針對這些系統時,它可能導致未經授權存取這些工具中儲存和處理的敏感資料,以及錯誤的預測或偏見的決策。Apono聯合創始人兼首席執行官Rom Carmel表示:「人工智慧模型將成為 2025年的關鍵開發領域」。「隨著人工智慧和機器學習成為身份驗證系統不可或缺的一部分,攻擊者會想辦法繞過或攻擊人工智慧模型」。
人工智慧也可能被簡單地操縱以達到惡意目的,例如,有人創建了一個人工智慧深度偽造自動電話,冒充美國總統Joe Biden,鼓勵人們不要在New Hampshire's的民主黨初選中投票,這一事件可能會對美國選舉產生嚴重影響過程。網路安全專家Clark在網路研討會上表示:「隨著人工智慧和機器學習的快速應用,威脅情況正在改變」。「攻擊者越來越關注這些系統,以破壞其可靠性並利用漏洞」。
5.雲端配置錯誤(Cloud Misconfigurations)
隨著企業不斷將營運轉移到雲端,雲端將繼續成為威脅行為者滋生的空間,而這通常是由於雲端設定不正確造成的。雲端中傳播的威脅的常見範例是可公開存取的S3儲存桶、AWS中配置錯誤的安全性群組和暴露的資料庫。網路安全專家Clark說:「雲端配置錯誤可能會造成與資料外洩、未經授權存取關鍵系統、財務損失和聲譽損害相關的嚴重影響」。並補充說,這些環境的複雜性將會增加,導致配置錯誤更加頻繁。過去,Amazon 和 Microsoft雲端環境曾暴露過客戶資料,例如瀏覽習慣、姓名、電子郵件地址、電子郵件內容和電話號碼等。洩漏不是由於漏洞造成的,而是由於配置錯誤造成的,包括不安全的讀寫權限、不準確的存取清單和配置錯誤的策略。
Sectigo 高級研究員Jason Soroko表示:「為了在2025年成功防止雲端漏洞,企業組織需要專注於三個關鍵領域:可見性、存取控制和持續監控」。「雲端環境是動態的,因此安全性也需要動態」。
6.物聯網設備漏洞(IoT Device Vulnerabilities)
物聯網(Internet of Things, IoT)設備讓新興威脅蓬勃發展,成為威脅行為者容易利用的目標,無論原因是預設密碼薄弱、缺乏加密或韌體不安全。物聯網設備面臨的常見攻擊是資料竊取、網路漏洞和分散式阻斷服務 (DDoS) 攻擊。一個最新的例子出現在用於管理印表機和列印作業的通用Unix列印系統 (CUPS) 中。這一系列漏洞分別為CVE-2024-47176、CVE-2024-47076、CVE-2024-47175和CVE-2024-47177,可讓惡意攻擊者利用可用的雲端平台。
網路安全專家Clark在網路研討會上指出:「聯網設備的數量之多確實加劇了威脅」。「由於這些設備的多樣性,以及添加安全功能的處理能力通常有限,因此確保這些設備的安全變得非常具有挑戰性」。Critical Start網路威脅研究資深經理Callie Guenther表示,隨著物聯網、OT 和5G網路的使用不斷增加,組織將需要網路威脅情資 (cyber threat intelligence,CTI) 超越傳統IT環境。「這一擴展將持續到2025年,這將增加 CTI的複雜性,需要更細緻的洞察力和具體的情報資料」。
7.加密弱點(Cryptographic Weaknesses)
網路安全專家Clark表示,加密弱點繼續構成重大威脅,因為此類漏洞破壞了安全通訊和資料保護的基礎。這些弱點通常以兩種方式表現出來:加密演算法中的缺陷或演算法的實現方式。亦在網路研討會上表示:「隨著運算能力的進步,以前安全的加密標準現在變得越來越脆弱,這進一步加劇了威脅」。並建議定期更新加密庫,並實施強加密協議,以避免中間人攻擊、資料完整性問題和敏感資訊暴露等攻擊行為。
近期,Acros Security發現了一個類似於CVE-2024-38030的漏洞,該漏洞會導致攻擊,即易受攻擊的裝置被強迫向威脅行為者發送NTLM雜湊(即用戶密碼的加密版本)。InfoSec Global Federal的執行技術策略師Philip George 說:「以前從未要求 [雲端服務提供者] 提供如此詳細和詳細的加密類型資訊,但客戶(政府和非政府客戶)將需要這種程度的詳細資訊,以確保他們的加密標準得到滿足」。
8.API安全漏洞(API Security Gaps)
越來越多的組織依賴API來連接系統;但是,如果這些API在設計或實作上有缺陷,那麼就會面臨風險。攻擊者能夠透過未經授權的存取破壞系統,從而操縱某些受限制的操作。一個顯著的例子是透過Facebook的API洩露用戶資料,此類缺陷在醫療保健或金融服務等其他領域也很常見。API安全漏洞最終會成為資料外洩的跳板,從而導致敏感資訊的遺失、未經授權的交易、聲譽損害和重大財務損失。網路安全專家Clark說:「隨著API變得越來越普遍,威脅也在不斷升級,增加了潛在的攻擊面」。「為了降低這些風險,必須保護您的 API端點,實施強大的身份驗證機制,並定期更新和審核 API 存取」。
Docusign API最近被用於大規模網路釣魚活動,因為它具有「API 友善環境」,這對企業有利,但也為不良行為者提供了進行惡意操作的途徑。儘管用戶可以透過一些方法來避免和檢測此類API濫用,但該漏洞最終可能會導致詐欺行為。在未來的一年裡,網路格局將繼續發展,API將走在這些變化的最前線。Salt Security網路安全策略總監Eric Schmke表示:「預計使用自動化、人工智慧和高級規避技術來利用漏洞並繞過傳統安全措施的複雜API攻擊將會增加」。「一個重大風險將源於對API錯誤配置的利用,這種情況通常由於開發和部署速度快而發生。這種情況將挑戰組織採用更主動、更全面的API安全方法」。
9.勒索軟體的演化(Ransomware Evolution)
「網路安全公司Dark Reading可以就勒索軟體舉辦一次完整的網路研討會,」網路安全專家Clark在網路研討會上表示,這引出了一個問題:勒索軟體可以被視為一種新興威脅嗎?答案是肯定的,儘管勒索軟體攻擊已經成為最具破壞性和最昂貴的網路攻擊之一,這很大程度上是由於其快速發展。最引人注目的勒索軟體攻擊之一發生在Colonial Pipeline管道上,導致其整個運營首次關閉,燃料短缺,東海岸四個州宣布進入緊急狀態。勒索軟體攻擊促使國家安全部門和行政部門採取行動,並迫使對國家關鍵基礎設施安全進行重新評估。威脅行為者知道,當向組織(例如醫療保健部門的組織)索取贖金時,可以贏得巨額回報,因為這些組織願意支付高額贖金來幫助有需要的患者。
「隨著這些攻擊變得越來越有針對性,坦白說,也越來越具有攻擊性,開始實施強大的備份策略、加強整體事件響應計劃以及不斷教育員工識別和避免諸如網絡釣魚之類的攻擊至關重要。Conversant Group技術長Brandon Williams表示,備份可能是唯一選擇。他說:「一些威脅行為者已將刪除資料作為其正常行為」。「如果這種情況在2025年得到發展,組織將無法透過簡單地支付贖金並希望獲得可用的解密工具來恢復資料。唯一的恢復方法是備份」。
10.5G網路漏洞(5G Network Vulnerabilities)
5G網路正在快速部署,威脅行為者也逐漸意識到並利用其漏洞。攻擊者越來越能夠輕鬆地瞄準5G基礎設施,這為更大的威脅打開了大門,例如大規模 DDoS攻擊、未經授權的資料存取以及關鍵服務的中斷。網路安全專家Clark在網路研討會上表示:「考慮到日益嚴重的威脅,5G的全球推出帶來了越來越多的連網設備」。「數量的上升加大了他們遭受攻擊的風險,尤其是考慮對雲端原生基礎設施的依賴」。在Las Vegas舉行的2024年Black Hat上,Penn State University的七名研究人員詳細介紹了5G技術漏洞導致行動裝置面臨資料竊取和拒絕服務的風險。威脅行為者只需向某人提供網路連線即可使用這些資源,輕鬆進行間諜活動、網路釣魚等。
Qualys威脅研究部門安全研究經理Mayuresh Dani表示:「缺乏初始廣播資訊認證、頻譜切片、靜默降級和不安全的DNS尋呼等漏洞目前影響著5G網路」。「在未來的一年裡,這些漏洞將繼續影響5G網絡,不安全基地台中的漏洞將使監視攻擊成倍增加」。
本文參考自:https://www.darkreading.com/vulnerabilities-threats/emerging-threats-vulnerabilities-prepare-2025