【2021资安大预测】趋势1：后疫资安新常态｜远距与在家上班成主流，疫苗资讯沦网钓诱饵

武汉肺炎（COVID-19）从中国武汉爆发，到肆虐全球191个国家地区，至今已超过1年之久，确定病例数已突破8千万，死亡人数也上看180万，面对这样极具威胁的传染病，许多企业也都大幅采用远距办公、在家办公，或是分组轮流上班的人力资源配置模式，以维持业务营运，然而，由于疫情并未趋缓，有不少公司在2021年仍将采行这样的工作方式。

而为了因应这样的工作模式新常态，公司绝大多数的员工，可能都要从自己家中的个人电脑或行动装置，横跨互联网连到企业内部网络，以便存取公司架设的IT应用系统或网络共享档案储存区，以及与同事、合作厂商进行线上协同作业，也因此，由企业本身所维运的各种网络服务用量大增，而须自行新建、扩建或承租对应系统或服务。

例如，透过加密通道安全衔接公司内外网络的VPN连线（IPsec VPN、SSL VPN）；远端登入公司电脑与服务器操作的软件平台（Remote Desktop）；透过网页界面让使用者存取企业应用系统的网站服务器、中介软件（Middleware），以及负载平衡、SSL卸载、DDoS防护、流量管控的应用程序递送控制器（ADC）；集中控管个人电脑与行动装置的端点统一管理系统（UEM），甚至是虚拟化桌面基础架构（VDI）、精简用户端（Thin Client）等，都派上用场。

此外，由于员工进不了办公室，因此，企业对于整合通讯与协作的需求大增──不只是电子邮件的收发，像是云端视讯会议、云端总机、行动分机、云端档案多人共享、群组即时通讯，这些不再是跨国或大型企业才用到的技术，而是一般公司维持业务营运而必备的通讯基础设施，而且都需经由互联网。在这样不得不开放的态势之下，企业固有网络边界消弭的程度变得更彻底了！

COVID-19疫苗在去年12月初宣布开始施打的消息，隔没几天，资安意识训练服务厂商KnowBe4就接到用户回报的网络钓鱼邮件，而这封信特别以疫苗供不应求为名，诱使收信者打开信中的PDF网址连结，希望能尽快填写表单申请，以便让疫苗更快送到自己手中，但这其实是一种社交工程的诱饵。图片来源／KnowBe4

与远端存取相关应用的漏洞与网络攻击，将持续受到关注

而从2020年的重大资安事件来看，的确有不少安全性漏洞公告与远端存取的网络应用有关，例如，根据美国国土安全部（NSA）在9月、10月发布的公告，一再警告大家注意。

像是：应用程序递交控制器──F5 Big-IP的CVE-2020-5902、Citrix NetScaler ADC、NetScaler Gateway、SD-WAN WANOP的CVE-2019-19781，VPN设备──Pulse Secure VPN的CVE-2019-11510，以及电子邮件服务器──Microsoft Exchange Server的CVE-2020-0688，行动装置管理平台MobileIron的CVE-2020-15505，此外，操作系统Windows、Windows Server，以及电子邮件服务器元件Exim、防火墙Palo Alto的重大漏洞，也都被点名。

市面上可提供远端存取能力的IT系统与网络设备多如牛毛，在安全性漏洞陆续被揭露之后，公部门、企业、各组织都已经妥善修补了吗？根据资安厂商RiskIQ于2020年中的分析，仍有许多设备仍未修补已知漏洞，上述的部分产品也名列其中，而且设备数量甚至上看百万台，像是F5 BIG-IP（967,437台）、Citrix NetScaler Gateway（86,773台）；VPN与防火墙的部分，则有Palo Alto Global Protect（61,869台），远端桌面应用有Microsoft Remote Desktop Gateway（42,826台）。

另外，在远端办公的IT技术上，远端桌面登入、VDI／桌面虚拟化／应用程序虚拟化也是许多企业组织大规模采用的应用类型，虽然这些操作方式原本就是缩小受攻击面而著称，然而还是有可乘之机，能让骇客渗透进来。举例来说，使用者账号与密码的保护必须更加确实，启用双因素身份认证，以及避免采用与其他系统相同的密码。

相关软件系统的安全性漏洞也必须多加留意。像是8月微软AD网域登入的Zerologon漏洞，也就是CVE-2020-1472，骇客可透过他们掌控的企业内部虚拟机器，登入并变更网域控制器的密码，而能控制整个AD网域，连带地，无论是实体的服务器、个人电脑或虚拟机器的存取，都无法幸免于难。

VDI／桌面虚拟化／应用程序虚拟化平台本身的漏洞，更是骇客针对这类应用发动攻击必备的要素。像是：VMware在11月爆出CVSS 3.1风险层级达9.1分的弱点CVE-2020-4006，就是出在该公司的数位工作区平台VMware Workspace One，产品具有指令注入漏洞，用户必须尽快修补或设法缓解。

除了要注意安全性漏洞的修补与遮蔽，以免惨遭骇客滥用与渗透，各种远端存取的IT设备与系统，尤其是会直连互联网的产品，也要当心分散式阻断攻击（DDoS）。像是上述屡屡被提到的Citrix NetScaler Gateway，在12月24日也遭到这类型攻击，攻击者运用资料包传输层安全（DTLS）协定，向Citirix NetScaler发出大量网络流量传输需求，意图耗尽用户环境的连外网络带宽。

而这类阻断网络服务正常运作的手法，当然也能影响其他的IT系统与网络设备的正常运作，因此，企业也要注意到大规模瘫痪网络的攻击行动。

12月初，资安厂商Check Point在暗网发现有人张贴COVID-19疫苗的广告，开价250美元，但无法判断对方贩售的疫苗是否为真，而且对方还要求买家需以比特币支付。图片来源／Check Point

疫苗相关组织将成攻击目标，疫情资讯恐沦为网络钓鱼诱饵

为了遏止武汉肺炎疫情持续扩大，各国这一年来除了持续管制边境、实施隔离、宵禁、封城等措施，以及宣导戴口罩、保持社交距离，近期最受各界关注的议题是疫苗相关资讯，因此，许多资安厂商都提出这方面的预测。

例如，趋势科技认为，疫苗相关的机构及产业链，像是生技公司、疫苗研发机构，将面临更多目标式攻击。Check Point也指出，有意窃取疫苗资讯的网络犯罪分子或国家，将持续锁定开发疫苗的制药公司作为目标，因此，要注意以疫苗为诱饵的网络钓鱼，攻击者会打着疫苗开发或各国新增限制措施消息的旗帜，诱使大众开启电子邮件或网址。

事实上，随着辉瑞（Pfizer）、阿斯特捷利康（AstraZeneca）、莫德纳（Moderna）等药厂的疫苗问世，资安厂商也在12月上半发现网络钓鱼活动。

例如，在英国宣布疫苗大规模接种当天，资安意识训练服务厂商KnowBe4随即接收到以此为主题的网络钓鱼邮件；Check Point也在暗网观察到与疫苗有关的广告：有业者宣称他们手上有多种疫苗可贩售，开出250美元的价码，也有业者喊出14剂300美元的高价，而且他们只接受比特币交易。

除此之外，Check Point也注意到11月起，随着疫苗试用的正面消息出现与即将问世，包含vaccine这个字的网域名称遭人大量注册（1,062个），其中的400网域名称同时包含了covid或corona的字样，这里面有6个网站被判定为可疑。

12月初，正当英国-批准辉瑞疫苗上市之际，欧洲刑警组织也发布早期预警公告，提醒大众注意暗网（Darknet），有人张贴假疫苗的广告。虽然这类讯息数量有限，但随着合法疫苗变得普及，Check Point认为，假疫苗的广告届时有可能会增加，到了最终测试阶段，网络犯罪份子还会冒用真正药厂的品牌，贩售假疫苗。