在快速發展的數位環境中,網路威脅正在呈現新的形式,對中小型企業(Small and Medium-sized Enterprises,SME)的影響特別顯著。 根據 Huntress 最近發布的季度中小企業威脅報告,惡意軟體驅動的攻擊已達到頂峰,在第三季度觀察到的事件中,有56%的攻擊者在進行攻擊時未使用傳統的惡意軟體,而可能利用其他手段,例如社交工程、系統漏洞或其他非傳統方法進行入侵。這種攻擊被稱為「無惡意軟體」的攻擊事件。換句話說,攻擊者在這種情境下不依賴傳統的惡意軟體,而是透過多種方式實施攻擊,包括但不限於系統漏洞的利用。
Huntress是一家總部位於美國的託管安全平台服務供應商。報告指出,這種攻擊方式的演變似乎與遠端監控和管理(Remote Monitoring and Management,RMM)軟體工具作為初始存取媒介的使用激增有關。在部分觀察案例中,有 65% 的情況顯示攻擊者使用了RMM軟體工具作為初始存取媒介。這種趨勢的增加可能與Covid-19引起的工作實踐變化有一定關聯。
此報告還提到,中小企業最常被利用的RMM工具包括ConnectWise、AnyDesk、NetSupport和TeamViewer。這些攻擊者使用的合法工具(通常被稱為就地取材或LOLBins)在中小企業層面引起特別的擔憂。這是因為這些組織通常缺乏適當的監控或審查,同時區分合法活動和非法活動變得更加困難。
上述56% 數字和 65%數字沒有前後關係,而是來自不同的觀察結果。56% 指的是觀察到的事件中有 56% 是「無惡意軟體」的攻擊事件。而 65% 則是在觀察案例中,攻擊者可能使用了RMM軟體工具作為初始存取媒介的情況。這兩個百分比反映了不同方面的安全事件,而不是同一個事件的前後關係。
中小企業面臨的挑戰在於攻擊者使用合法工具。這是因為這些企業通常無法投入足夠的資源來建立和維護強大的監控體系。換句話說,中小企業難以配置高效的監控系統,使得對於內部網路活動的審查不如大型企業般周全。這種缺乏強大監控體系的情況使得中小企業難以快速識別和應對使用合法工具的潛在風險。換言之,監控能力的不足使得中小企業更容易受到威脅行為者利用合法工具進行攻擊。因此,這種挑戰是源於中小企業難以建立充分監控機制的結果,進而影響了它們對網路安全威脅的應對能力。此外,威脅行為者正在不斷發展他們的獲利手段,對中小企業造成嚴重破壞,使得中小企業不得不正視對網路威脅的教育和採取主動措施的必要性。
報告也強調,隨著雲端服務成為小型企業不可或缺的一部分,人們越來越關注雲端中身分驗證的安全性。威脅行為者利用外洩的資料,為商務電子郵件詐騙 (Business Email Compromise,BEC) 以及勒索軟體入侵做準備。
為了應對這些不斷變化的威脅,中小企業防禦策略需進行重新評估,並採取更細緻的威脅檢測和反應方法。反惡意軟體方案和垃圾郵件過濾等傳統措施在當前威脅情勢下被認為是不夠的。該報告建議託管安全服務提供者(Managed Security Service Provider,MSSP) 和中小企業將它們的安全意識擴展到傳統邊界之外。這表示,除了傳統的網路邊界,我們還應該在更廣泛的範圍內提高對安全性的警覺。這個建議是基於大型企業在經歷大規模供應鏈攻擊事件後的經驗教訓,這可能包括改善供應鏈透明度、強化安全防護、實施更嚴格的監控等。然而,具體的做法可能因企業和事件而異。
除了 Huntress 提到的特定威脅情勢之外,網路安全仍然是各種規模企業的關鍵問題。小型企業應採用的網路安全策略,包括員工培訓、定期軟體更新、防火牆安全、行動裝置管理計畫、資料備份、存取控制、安全無線網路等最佳實務。
隨著網路威脅的不斷發展,隨時了解情況、採取主動措施並採用先進的網路安全策略對於數位時代企業非常重要。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:
Alex Scroxton(2023).Over half of SME cyber incidents now ‘malware-free’.computerweekly.檢自:https://www.computerweekly.com/news/366560553/Over-half-of-SME-cyber-incidents-now-malware-free(Nov.21,2023)
Communications Business Opportunities(2023). Cybersecurity for Small Businesses. FCC. 檢自:https://www.fcc.gov/communications-business-opportunities/cybersecurity-small-businesses
Jack Koziol, Rob Watts, Cassie Bottorff(2022).Most Common Cyber Security ThreatsIn2023. Forbes. 檢自:https://www.forbes.com/advisor/business/common-cyber-security-threats/(Aug.12,2022)
