網絡安全環境正面臨前所未有的嚴峻挑戰,政府電腦保安事故協調中心(GovCERT.HK)發布的2024年威脅形勢報告也提到,僅在2024年第四季度,本港的網絡安全事故已激增至2,670宗,證明網絡犯罪活動正持續增長外,亦反映不論個人用戶或各行各業將持續面對更高的安全風險,而行之有效且具針對性的應對措施將成明年網絡安全範疇的重中之中。Sophos專家團隊就藉此全面分析當前威脅趨勢,並針對勒索軟件的持續威脅、人工智能的應用風險、以及國家級網絡攻擊等關鍵議題,列出2025年四大網絡安全趨勢及建議。
1.勒索軟件升級
Sophos全球首席駐場技術總監Chester Wisniewski提到,勒索軟件攻擊將持續升級 ,其中醫療及教育行業恐成攻擊目標。他解釋,由於教育和醫療機構往往受限於網絡安全經費,加上不時需處理大量敏感的個人數據,令黑客更易鎖定其老舊的系統。對於醫療行業而言,勒索軟件攻擊更會中斷性命攸關的緊急醫療救援工作,令受害機構最終在壓力下繳付贖金,繼而令行業持續成為勒索軟件攻擊的主要目標。
- 人工智能(AI)
AI在來年將持續帶來風險。Sophos X-Ops 威脅研究總監Christopher Budd就指出,每種新型的互聯網技術都存有蜜月期,不少現實問題將隨時間推移慢慢浮現。當中,今年陸續推出的大型語言模型(LLM)其實存有多種系統缺陷和漏洞,並開始遭受惡意軟件攻擊。在過去一年,微軟已開始對其 AI 產品提供修補程式,而黑客利用LLM策劃如木馬程式等惡意軟件攻擊亦屢見不鮮 。明年AI的潛在風險將更為明顯,所以廣大用戶和網絡安全專家將需積極修補相關漏洞和惡意軟件,以妥善抵禦隨之而來的攻擊。
同時,隨着AI技術興起,部分以往需高技術水平的網絡犯罪行為已變得更加平民化,令不少欠缺攻擊手段的黑客能透過坊間的人工智能平台取得攻擊教學,並輕易製作各類惡意工具,例如:逼真的網絡釣魚網站及大熱的勒索軟件樣本。
而且,Sophos資深數據科學家Ben Gelman認為,LLM將持續進化並連結多個語言模型,以完成更複雜的任務。當中,與其費時以 ChatGPT編寫一段攻擊代碼,研究人員和黑客將改為利用多個 LLM 和其他 AI 模型執行複雜的自動化任務,如網絡滲透、客戶服務,以及整合型虛擬助手等。
- 國家級網絡攻擊陸續浮現
Chester Wisniewski 指,國家級黑客團隊的目標已不再局限於大型企業,他們開始將注意力轉向邊緣設備(Edge Devices),並藉此建立代理網絡擴大網絡攻擊範圍。由於邊緣設備往往因未能及時修補而存在漏洞,加上不少企業仍在使用過了EOL 期限的設備,令情況變得再難以控制。所以,不論機構規模的大小,都有可能成為目標。
- 網絡攻擊策略改變
Sophos首席駐場技術總監Aaron Bugal指,為了讓受害機構無法專注處理網絡威脅,黑客將開始利用干擾戰術造成混亂,從而躲避系統的檢測。當中,黑客在發動攻擊時,將同時以小規模攻擊或引發虛假事件,藉此分散團隊的注意力。此類干擾戰術不單消耗機構的資源,再令網絡安全團隊疲於奔命,大大削弱系統的整體防禦能力。
而隨著企業廣泛採用嶄新的端點網絡安全工具和設立多重身份驗證(MFA),然而他們並未有在雲端平台啟用多重身份驗證,最終令黑客逐漸視雲端環境為攻擊目標。同時,該情況亦意味黑客的目標不只單純竊取用戶密碼,亦同時鎖定用戶存取於雲端的數據和用於多重身份驗證的憑證,從而借此偷取更多資料。
Chester Wisniewski補充,預計針對軟件供應鏈的攻擊將於未來一年頻繁出現。由於攻擊的受影響範圍已遠超遭受攻擊的源頭,亦同時向不少受害者施壓,最終限制受害客戶的行動,難以在等待修復期間應對問題。
所以,Chester Wisniewski及Aaron Bugal就提出5大建議:
- 為系統有可能出現的突發狀況早作準備:隨著供應鏈攻擊不斷增加,企業必須及早為第三方服務供應商因網絡攻擊而中斷服務做好規劃。例如,在採購過程中,企業應仔細評估供應商的系統安全措施,並測試其應對方案。由於組織往往未能及時察覺此類風險,所以應在明年優先改變策略。
- 優先修補系統漏洞和盡快採用多重身份驗證(MFA): 大多數的安全漏洞均源自軟件和系統未有及時修補,或者密碼遭盜取。加上,若然已連接互聯網的網絡設備未有啟用多重身份驗證,風險則非常嚴重。如果企業能優先處理及修補相關漏洞和啟用多重身份驗證,則能大幅改善其系統安全防護能力。
- 加強產品安全水平:美國網路安全暨基礎設施安全局(CISA)所定立的「安全設計(Secure by Design)」和「安全需求(Secure by Demand)」標準,對網絡安全發展尤其重要。展望未來,技術供應商將逐漸從產品設計便優先考慮其安全水平和質量,而此思維對正面臨威脅的全球供應鏈非常重要。
- 安裝效能強大的防毒軟件: 雖然教育廣大用戶如何處理可疑電子郵件和附件仍是一個好方法,但鑒於現今詐騙手段更為複雜,確然難以單靠提升公眾認知便能檢測威脅。其實,培訓用戶及時報告任何意外或可疑的事故,能讓安全團隊及時應對及防止潛在威脅。若然警覺性較高的用戶能及時報告事故,不僅能保護其他專業知識較低的用戶,亦能在黑客完全入侵系統前啟動威脅追蹤,防止不法之徒以漏洞入侵系統。
- 疲勞和倦怠已成行業常態: 在網絡安全行業,疲勞和倦怠已成常態。網絡安全技術人員不時因資源不足、設備過時或未能充分發揮技術,以及需面對不清晰的流程、責任和管治問題而感到疲憊。所以,各大機構應主動關心員工的精神健康,充分借助技術和程式減輕員工的負擔,並考慮使用網絡安全供應商的托管式偵測及回應服務(MDR),以幫助員工分擔工作壓力。