網絡保安| Mandiant公佈季度攻擊 籲企業驗證防禦能力

[網絡保安]

網絡安全公司Mandiant被Google以54億美元收購後，7月通過審查加入Google Cloud雲運算部門。

業內人士對Mandiant 不陌生，本港多宗重大保安事故都由Mandiant調查和處理，國際上遭黑客攻擊後安全事故反應（Incident Response），甚至國家級攻擊也是委托Mandiant負責。

Mandiant最大優點在研究網絡威脅，加上處理安全事故反應深厚經驗，再協助企業管理保安風險，以至自動化防禦。Mandiant公佈季度網絡威脅調查，有助企業防禦和管理風險。

Google Cloud一直拓展企業市場，Mandiant在保安市場的實力，有助企業更快轉移到雲運算，保安考慮一直是企業採用雲運算的主要障礙。

Lockbit橫掃各行業

Mandiant北亞區總經理徐海國說，今年第2季，Mandiant在香港發現最流行的惡意軟件是BEACON，屬於一款具備功能強大的後門程式；可傳輸、執行及管理檔案、執行shell 命令功能、掃描埠位、記錄鍵盤動作、擷取螢幕內容。BEACON仍基於滲透測試工具Cobalt Strike 框架，早期結合在Metasploit滲透測試工具內，後來被黑客從MSF脫離變為攻擊工具，蛻變成功能強大的惡意軟件。

徐海國說，最活躍黑客組織則是名為UNC3443黑客組織，以電子郵件散播Emotet加密病毒信件攻擊，或者將帶有Macro毒病的Word 檔案用ZIP加密壓縮後以電子郵件附件傳送。

香港最多黑客攻擊系統弱點，則是2019年已公佈Windows SMB 遠端執行程式碼弱點CVE-2017-0144，雖然Microsoft已為Windows Server 2016提供了安全性更新，不過不少人仍未有升級系統，加上多種Windows都有SMB伺服器，因此Windows 系統的SMB 漏洞仍然廣被利用，例如透過遠端執行程式碼弱點攻擊。

本港亦發生多宗Lockbit勒索軟件攻擊，攻擊幾乎遍及各行各業，受害機構遍及電子製造、珠寶、金融服務、製藥、製造業、科技行業。

預防勝於治療

Mandiant港澳區總經理徐伊芬指，Mandiant的Mandiant Advantage平台可協助企業在不同階段保持網絡健康；透過提供網絡威脅情報（Threat Intelligence）、攻擊面風險管理（Attack Surface Management）、安全驗證（Security Validation）、自動防禦（Automated Defense）等服務。

Mandiant其中一項服務就是協助企業建立充足的安全防禦能力，驗證防禦的機制，是否足以抵擋相關攻擊。

「防禦黑客攻擊有如病毒，Mandiant服務有如醫學體檢和治療一樣，即使企業受攻擊入侵，患上頑疾一樣接受療程，減低破壞水平，治療永遠不會太遲，仍然可恢復健康；不過預防勝於治療，最好經常體檢查，確保有充足抵禦力，可將黑客摒諸門外。」

企業利用類似的身體檢查服務，以確保投資保安足以應付，加上雲運算流行，愈來愈多設備和服務暴露風險中，而攻擊面風險管理讓保安，就是確保不會在防禦方面掛一漏萬。

Mandiant曾處理過不少棘手黑客針對性攻擊，揭發黑客利用漏洞，其中一宗是銀行ATM自動提款機受攻擊。徐海國說，黑客組織攻擊ATM自動提款機的Solaris作業系統，以新型Rootkit破壞ATM核心，加入惡意軟件攔截取款卡和 PIN 驗證，從 ATM 終端機取款，幾乎予取予攜。

「最初有數家保安分析公司都無法找出黑客如何未經授權的就可取款，終於在Mandiant調查下真相大白。」