駭客不玩勒索病毒那套了,偷這個賺更大——資安長請盯緊「機器身份安全」

2023/03/14

圖文引用自:buzzorange

2023 年經濟前景不明,資安人員必須在有限預算中重新評估優先事項,並尋找事半功倍的工作模式。不僅資安團隊的策略可能受到經濟環境的影響,駭客也同樣會因為「錢不夠」而一改過去的策略,其中,「機器身份」已經成為駭客眼中的新肥羊。

根據 IDSA 聯盟《2022 年數位身份安全趨勢》報告顯示,約有 84% 的企業在過去一年中有發生過身份洩露的問題。過去幾年,數位身份的數量不斷增加,全球最大無線通信商貿組織 GSMA 預測,2025 年將有 250 億台聯網裝置,保護「機器身分」成為企業極具挑戰的任務,也是資安長必須在 2023 年加強關注的重點。

什麼是機器身份管理?

2022 年,包括微軟、Spotify 和 Google 都發生過「系統大死機」的問題,原因就是機器身份未經驗證和保護而導致的。

所謂「機器身份管理」,就是發現、管理和保護機器身份,讓機器以及機器之間的聯繫能保有機密性和完整性。

一般人看到機器,也許會直覺想到電腦、手機等「硬體設備」,但在機器身份管理的世界中,「機器」可以是任何需要身份認證才能連接或連結的事物,從一台機器設備到一段程式碼甚至是一個 API 應用程式介面,都可以是「機器」。不過,隨著物聯網設備、容器、微服務激增,管理機器身份變得既重要且困難。

為什麼機器身份管理變得越來越重要?

網路安全公司 Venafi 安全戰略和威脅情報副總裁 Kevin Bocek 近日在《VentureBeat》上撰文指出,這是因為當大環境經濟可能衰退時,能為勒索病毒攻擊付出贖金的企業越來越少了,但出售這些盜取來的機器身份,卻能讓駭客在短時間內大撈一筆。

舉例來說,在暗網上最暢銷的商品之一,就是那些竊取來的「程式碼簽章憑證」,這些簽章憑證被用來驗證電腦應用程式和軟體的真實性與完整性。一旦憑證受損,就有可能遭到網路犯罪份子利用並在企業網路或消費者設備上安裝惡意軟體。

這些簽章憑證的價格從 299 美元到 1,599 美元都有,在暗網上,通常在 2-4 天內就會被買走。去(2022)年 3 月,駭客就利用 NVIDIA 外流的程式碼簽章來散布惡意程式。

目前企業在管理和保護人類身份上已花費了數十億美元,但在機器身份方面的保護卻做得很少。然而,機器數量的成長速度卻早已超過全球人口的成長速度,而這些機器都需要身份驗證和管理,來保證它們的連接和通訊安全。如果不加以保護,這些機器身份將可能成為網路犯罪份子眼中的「免費自助餐吃到飽」。

沒有機器身份管理,零信任就無法實現

網路安全公司 Venafi 更在企業部落格中言明,「若沒有機器身份管理,零信任都是談假的」;Gartner 則將機器身份管理形容為是實施零信任策略的基礎技術。

而對於政府而言,也不可忽視機器身份管理的重要性。這是因為在 2023 年,我們暫且還看不到能源危機緩解的跡象,但對現代人來說,網路、電力基本上是不可缺少的重要資源,而駭客也清楚知道這一點。再加上近幾年國際關係緊張,針對國家關鍵基礎設施的攻擊勢必增加,因為這樣才能造成國家經濟和民意的混亂。發生於 2014 年的「震網(Stuxnet)事件」,就是利用機器身份來關閉工廠關鍵基礎設施的最好案例。

提供相關智權新聞
若您有智權相關新聞,也歡迎透過email連繫。
Scroll to Top