【TO 編輯部導讀】
今年度有許多新型勒索軟體攻擊出現,透過網路釣魚方法散佈惡意連結,讓許多民眾、企業感到心驚。不過,駭客攻擊的手法不只有勒索病毒,特別是在經濟不景氣的時候,更可能把目標轉向「機器身份」。然而企業對機器身份方面的保護卻做得很少,這篇文章將告訴你什麼是機器身分,為什麼企業們必須多加留意?
2023 年經濟前景不明,資安人員必須在有限預算中重新評估優先事項,並尋找事半功倍的工作模式。不僅資安團隊的策略可能受到經濟環境的影響,駭客也同樣會因為「錢不夠」而一改過去的策略,其中,「機器身份」已經成為駭客眼中的新肥羊。
根據 IDSA 聯盟《2022 年數位身份安全趨勢》報告顯示,約有 84% 的企業在過去一年中有發生過身份洩露的問題。過去幾年,數位身份的數量不斷增加,全球最大無線通信商貿組織 GSMA 預測,2025 年將有 250 億台聯網裝置,保護「機器身分」成為企業極具挑戰的任務,也是資安長必須在 2023 年加強關注的重點。
什麼是機器身份管理?
2022 年,包括微軟、Spotify 和 Google 都發生過「系統大死機」的問題,原因就是機器身份未經驗證和保護而導致的。
所謂「機器身份管理」,就是發現、管理和保護機器身份,讓機器以及機器之間的聯繫能保有機密性和完整性。
一般人看到機器,也許會直覺想到電腦、手機等「硬體設備」,但在機器身份管理的世界中,「機器」可以是任何需要身份認證才能連接或連結的事物,從一台機器設備到一段程式碼甚至是一個 API 應用程式介面,都可以是「機器」。不過,隨著物聯網設備、容器、微服務激增,管理機器身份變得既重要且困難。
為什麼機器身份管理變得越來越重要?
網路安全公司 Venafi 安全戰略和威脅情報副總裁 Kevin Bocek 近日在《VentureBeat》上撰文指出,這是因為當大環境經濟可能衰退時,能為勒索病毒攻擊付出贖金的企業越來越少了,但出售這些盜取來的機器身份,卻能讓駭客在短時間內大撈一筆。
舉例來說,在暗網上最暢銷的商品之一,就是那些竊取來的「程式碼簽章憑證」,這些簽章憑證被用來驗證電腦應用程式和軟體的真實性與完整性。一旦憑證受損,就有可能遭到網路犯罪份子利用並在企業網路或消費者設備上安裝惡意軟體。
這些簽章憑證的價格從 299 美元到 1,599 美元都有,在暗網上,通常在 2-4 天內就會被買走。去(2022)年 3 月,駭客就利用 NVIDIA 外流的程式碼簽章來散布惡意程式。
目前企業在管理和保護人類身份上已花費了數十億美元,但在機器身份方面的保護卻做得很少。然而,機器數量的成長速度卻早已超過全球人口的成長速度,而這些機器都需要身份驗證和管理,來保證它們的連接和通訊安全。如果不加以保護,這些機器身份將可能成為網路犯罪份子眼中的「免費自助餐吃到飽」。
沒有機器身份管理,零信任就無法實現
網路安全公司 Venafi 更在企業部落格中言明,「若沒有機器身份管理,零信任都是談假的」;Gartner 則將機器身份管理形容為是實施零信任策略的基礎技術。
而對於政府而言,也不可忽視機器身份管理的重要性。這是因為在 2023 年,我們暫且還看不到能源危機緩解的跡象,但對現代人來說,網路、電力基本上是不可缺少的重要資源,而駭客也清楚知道這一點。再加上近幾年國際關係緊張,針對國家關鍵基礎設施的攻擊勢必增加,因為這樣才能造成國家經濟和民意的混亂。發生於 2014 年的「震網(Stuxnet)事件」,就是利用機器身份來關閉工廠關鍵基礎設施的最好案例。
AI 不會取代你,但懂用 AI 的人會!
訂閱《AI TOgether》趨勢週報
感謝訂閱!隨時注意信箱的最新資訊
2023 年經濟不明,但絕不要讓「預算」決定企業的安全程度
回到企業本身,該如何在經濟前景不明的 2023 年做好資安?Kevin Bocek 指出,資安長可能還得注意:一些 CFO 和 CEO 可能會被低價的「單一雲」選項所吸引,並想將所有雞蛋放在同一個籃子裡。但這已過度集中風險,並為攻擊者提高了絕佳機會,同時還錯失了多雲策略能帶來的高敏捷性與速度。
「安全人員將在未來數月內成為公司內部至關重要的關鍵角色,」Kevin Bocek 提醒,「今年是企業必須將安全放在首位的一年,而不是讓減少的預算來決定公司的安全狀況。」
*本文開放合作夥伴轉載,資料來源:《VentureBeat》、venafi、《TechCrunch》、《BLEEPINGCOMPUTER》、Wikipedia。首圖來源:Unsplash。
(責任編輯:廖紹伶)
