網路威脅角色分類

目錄

• 前言
• Individual Malicious Actors
• Malicious Groups
• Insider Threats
• Nation States

前言

在網路威脅種類章節我們提到了現有的網路存在哪些威脅，而資安專家通常對於其中的威脅角色更感興趣，畢竟目前所有系統、網路及企業環境有資安事件大部分都是人為進行攻擊發生的，尤其網路犯罪 (cybercrime) 相較於實體犯罪差別就在於網路相對應的匿名性、攻擊執行的距離以及實體上的危險和犯罪成本

這些差異造成了威脅角色其實有好幾種類型，牽涉到人數或團隊之間的合作能力、資源差異、個人動機以及道德觀所反應出來的行為等等，當然也許到目前為止還有許多種角色變化，所以我們就提一些high-level的觀念來描述這些角色吧

Individual Malicious Actors

對於剛入門的新手嘗試執行他人製作的腳本進行一些操作其實沒辦法算進這個範疇裡，通常在網路安全裡惡意攻擊者是需要針對應用服務實施一些數位策略，例如嘗試取得限制權限的服務功能、竊取身份驗證資訊以及損毀網站等等，攻擊者必須非常了解該應用服務本身的技術及架構，所以腳本小子抱歉囉

在2019年七月有一個叫Paige Thompson的人透過router漏洞利用提權後取得了高權限從Capital One(一家美國金融控股公司)取得一億份私人資訊，其中包含社會安全碼、帳號內容、地址、電話號碼及電子郵件信箱等等

能被漏洞利用的原因在於Web Application Firewall (WAF)設定失誤允許有權限可以列出檔案及讀檔功能，要預防這類的事件發生必須實施最小權限原則以及在把config檔上去前先進行驗證與確認，甚至有些攻擊者還會在社群媒體上張揚自己的行徑 (這到底是什麼心態？🤨)，社群媒體監控也許可以是其中一種辦法

Malicious Groups

當這些獨立的攻擊者成群結隊後就組成了一個team，惡意群組可以擁有數個目標，但通常比起個人來說會有更多的目的性、組織化且更多的資源去達成他們的目的，通常被視為很危險的惡意角色

惡名昭彰之一的就是Lapsus$組織，他們攻擊的範圍包含許多產業的公司，竊取有價值的資料並進行勒索，影響公司資料的損失其中包括原始碼、草案以及其他不可公開文件，而倘若公司屈服於這個組織的勒索，他們會更進一步的公開洩漏這些資料來打擊被勒索公司的聲譽造成更大的財務損失

而身懷絕技的各路人馬組成就有辦法執行多樣且熟練的技術，每個人都可以貢獻自己的專長而不重覆，針對目標進行攻擊時就可以計劃許多不同維度層面的方案，就是這點讓企業非常苦惱，在網路安全產業有一項真理：「攻擊者只需成功攻擊一次，而防禦人員則必須每次都成功防禦」，惡意團體更是加劇了這點

只有少數幾種方法可以預防這類型的組織攻擊，像是考量更廣泛的攻擊面向，畢竟公司無法投入太多資金聘請許多藍隊人員，而每一個員工也只能針對某個面向進行檢測，所以內部威脅角色的意識以及異常檢測的協助是不可或缺的，Palo Alto網路安全公司建議採納MFA (Multi-Factor Authentication)、存取控管以及網路區段切割等方式輔助防禦人員

Insider Threats

可以算得上最危險的其中一種，泛指獨立僱員或一個團體員工存在組織中擁有權限存取內部系統以及濫用他們的權限進行攻擊(我們中出了一個叛徒！)，更甚至有前員工因為任何動機且還保有一些帳號權限而進行報復手段都是可能在新聞上有所聞的，insider threats被判斷為如此危險就在於他們擁有某種層度的被信任，讓他們可以簡單地就存取到一些內部機密資料，或者網管可能大多時候只監控到外部流量，但沒有在第一時間注意到內部有不符資格的員工帳號正在非法提權看一些他們不能看的資料

2020年三月COVID-19爆發初期美國的口罩或者醫療防護裝備短缺時一位在醫療包裝公司擔任副總的Christopher Dobbins剛被開除，他就在被離職前建了一組假帳號，而這帳號擁有權限可以存取公司內部系統，他用來變更或刪除公司內部重要的醫療供應鏈資料，這讓公司在疫情恐慌期只能延遲交貨給嚴重災區的下游廠商

要留意避免這樣的情況必須實施最小權限原則，由於有可能過去的高階主管在內部系統創立假帳號，所以也必須在申請公司帳號時附上更多資訊來進行驗證，同時要監控內部系統異常行為來防範這類離職人員進行惡意的動作

Nation States

儘管網路政治、網路戰以及數位情報是非常大的一個範疇，我們也應該辨識一些最具代表性、擁有最多資源且有足夠資金進行網路攻擊的全球性國家級組織，像是2009年北韓政府就金援了一個組織，其名為”Lazarus”，從2014年開始竊取Sony的內部資料，2017年透過WannaCry勒索軟體勒索過孟加拉銀行，也在2022年攻擊Axie Infinity區塊鏈遊戲獲取加密貨幣，這組織最重要的目的就是透過網路攻擊來獲得更多財富

資訊保險公司NCC Group就建議平時要做好網路區段切割、時常更新網路服務或修補、正確設定MFA、監控公司內部任何使用者異常行為(例如是否有帳號同時間在不同地區進行操作)、確認充足資訊的登入以及log分析等等來防範像Lazarus這類國家級的惡意組織，當然如果他們要全力進行攻擊也真的很難防，所以平時也可以跟一些藍隊防禦公司進行聯繫，到時有專業技術支援一起組團才有機會挺過這樣的攻擊