科技洞見

若無法顯示請按此

趨勢觀點

黑色產業來襲,資安戰略挑戰升級。隨機遭駭,近在眼前。


企業資安的風險,取決於全員的平均作戰力;安全意識越高、再小漏洞也不輕放,是抵禦駭客攻擊的第一課。同時,不斷翻新的後門程式、DDOS阻斷式攻擊、勒索威脅、Webcam盜影到撞庫攻擊,威脅演化一波波,考驗企業的資安投資戰略。

每年,全球經濟論壇都會提出一份全球風險評估報告,其中資料欺詐與盜竊風險的排名日漸上升,僅次於恐怖攻擊。尤其在萬物連網的年代,駭客生態衍生黑色產業,資訊安全的新威脅不斷演化,無論哪類型的攻擊,目標往往指向全球,經濟損失也是全球化。

資安亦即國安。行政院也因應日益險峻的國家資安情勢,規劃第五期資通安全發展方案,做為未來四年(2017-2020)國家推動資安防護策略與行動方案的重要依據。

此方案分別從法規制度、風險管控、產業經濟與人才供需等層面推動國家資安工作,預計完成八大關鍵資訊基礎設施的聯防體系,讓公部門採用資安國產品達50%,並建立千人的資安應變小組,逐步達成提升自我防護能量、完善國家資安機制、保衛數位國家安全的目標。

遠傳電信總經理李彬

遠傳電信總經理李彬出席2017「防駭大作戰」創新論壇

駭客攻擊屢傳,資安漏洞百百樣

回顧過去一年,國內發生了多起重大的駭客攻擊事件,顯示資安漏洞百百樣,隨機遭駭已近在眼前。

例如,某公營銀行遭駭客入侵的「後門事件」。駭客先侵入該行在倫敦分行的系統,而後直驅進入台北總行,操縱數百台提款機的設定,讓犯罪同謀輕鬆取走超過千萬元現金。再來,某線上遊戲公司遇上「勒索攻擊」,導致線上服務中斷,玩家帳戶的寶物遭竊,交易損失和商譽毀壞難以估算。

而「DDOS阻斷式攻擊」事件找上證券交易系統,台灣前13大券商無人倖免,預估206億元的交易被迫中斷,耗費數小時才恢復交易。還有全台有46所學校的印表機遭駭,列印結果不是預設內容,造成用戶的被支配恐慌。

物聯網安全不設防,殭屍攻擊隱憂大

另一方面,物聯網(IoT)產生的複合式資安威脅,也頻頻災情。由於物聯網融合網路、應用程式服務、行動化和雲端等多種科技,因此衍生的安全後果往往是加成等級。

2006年底,一支「Mirai」惡意程式撬開了物聯網安全威脅之門。這款惡意軟體攻佔Linux系統,做為遠端操控的殭屍,再透過殭屍網路大規模攻擊。以Mirai發動的DDoS攻擊,曾創下每秒Tb級的流量,癱瘓北美多個大網站。而攻擊的啟動來源是十幾萬台被Mirai感染的網路攝影機,這些物聯網裝置正廣泛被殭屍網路利用。

物聯網設備會被視為發動DDoS攻擊的跳板,除了長時間處於不斷網、不斷電的狀態,加上系統運算規格高的先天條件外,讓駭客能直驅而入的原因是「安全不設防」,一來是目前缺乏適合的資安軟體,二則是為避免降低運作效能。此外,物聯網設備大多採用嵌入式系統,一有弱點被利用,會通盤崩壞。

提升全員資安意識,對抗黑色產業

事實上,企業並非缺乏資安意識,而是沒有迫在眼前的危機感,影響投資行動偏少。根據CIO雜誌2016年的行業別調查顯示,資安投資比重最高的金融業僅22.5%,政府機構和製造業的投資率意外偏低;年度資安預算的平均成長率約14%,以資料外洩與防護、API解決方案的成長最高。

台灣駭客協會常務理事暨戴夫寇爾執行長翁浩正

台灣駭客協會常務理事暨戴夫寇爾執行長翁浩正說明駭客攻防新趨勢

然而,面對不斷演化的攻擊威脅,資安投資也是一場情報戰。從事資安顧問的台灣駭客協會理事翁浩正就指稱,因為資訊不對稱,企業的現況是被壓著打──常常遭遇了攻擊,才開始找解方。

為此,翁浩正提倡企業建構資安機制時,首重「整體戰力的平均值」。資安應當是公司全體人員的共識,不是資安或IT部門的任務,所有部門、管理團隊甚至掌舵的老闆,都該納入資安宣導或受訓的範圍,唯有如此,企業的安全防護等級才能提高。

另一方面,企業也要認知「黑色產業」的崛起。因為有人想要盜資料,就有人會買資料;有人出高價,就有人會想方設法弄到手,這是一個產業鏈。

「今天駭客攻擊你的伺服器,首先會偷/賣個資,再來是電子郵箱和其他資料庫;接著主機流量賣給DDOS駭客,再賺一筆。」翁浩正舉例:「都賣完了,還想賺,就放個勒索軟體,把整個資料系統加密,開價要你來贖回。真正的一魚多吃。」

提防Webcam安全,別用一組帳密走天下

另一個值得留意的趨勢是,日漸普及的網路攝影機(Webcam)成為駭客竊用影像資料的新目標。去年,國外網站”Insecam”就24小時直播全球七萬多支網路攝影機的畫面,台灣有129支在列。因為很多用戶直接使用攝影機的預設帳號和密碼,讓駭客有機會駭入攝影機廠牌的監視器畫面,並透過連網,取得鏡頭錄製的畫面。非僅如此,物聯網裝置遭駭的案例還有其他意想不到的裝置,諸如路燈、自動販賣機、門禁鎖或任何連網的感應器,都是駭客瞄準的目標。

還有一種新興的「撞庫攻擊」,駭客利用很多人在不同網站,採用同一組郵箱與密碼註冊的習慣,只要取得一組真實資料,很輕易就成功登錄到同一個人的其他服務帳號。

曾有P2P網站被撞庫攻擊後,上萬用戶帳號內的資金被轉走;也有遊戲論壇的玩家帳號被駭後,玩家花錢買的裝備悉數消失,造成服務商金錢和商譽損失慘重。為此,許多網站服務商改用二步驟驗證,甚至再加手機驗證,就是在防範這類攻擊帶來損失。

雲端服務訴求資安力,掌握演化安全無懼

另一方面,隨著越來越多資訊應用服務走向雲端,帶動市場的快速發展,新型態的安全威脅也順應產生。基於應用服務和基礎設施的專業分工,擁有國際資安認證的雲端基礎設施平台商,因為耗資強固資安防護機制,也成為數位應用服務業者愛用的選擇。

像是遠傳電信的雲端機房已取得CSA雲端安全聯盟與BSI共同制定的STAR認證,而且連續兩年獲得「金牌認證」;而其子公司數聯資安,擁有國內唯四、全年無休的安全維運中心(SOC)等特點,都是有利企業選用雲端平台的綜合考量。

資訊安全對台灣社會是一個重要的議題,也是嚴峻的挑戰。當大多數人的工作與生活都高度倚賴行動網路,未來的經濟行為隨時隨地產生,我們必須對於新的攻擊與威脅和演化保持理解,才能找出適當有效的方法預先防範,遭逢入侵也能即時解決,降低損害。


fb line