施耐德
DTF0810

資安威脅無止歇 落實防禦基本功為上策

  • 魏淑芳
專家預期,近期引發軒然大波的WannaCry,僅是一連串漏洞資訊武器的開端,若企業未能把握時機強化內網防禦機制,甚至依舊疏於修補系統弱點,日後恐後患無窮。來源:Cybereason

DIGITIMES企劃

隨著數位轉型趨勢興起,環顧各產業,即便以往側重封閉作業環節的關鍵基礎設施型產業,如今都逐漸擁抱雲端、行動化、大數據、社群媒體、物聯網、人工智慧等數位科技,希冀藉此展開創新升級大業,再創業務高峰。只不過,當企業群起簇擁數位科技應用浪潮的同時,殊不知許多想像不到的資安危機,已默默地環繞在企業的四週。

以近年沸沸揚揚的資安事件而論,便已顯露了諸多讓人憂心的發展趨向。首先綜觀幾件攸關民生關鍵基礎設施的事故,包括烏克蘭電力網路遭駭、孟加拉央行的美國聯準會帳戶遭駭、一銀盜領案,乃至層出不窮的多起醫院慘遭加密勒索案例,不禁教人冷汗直流。主要是因為,無論電力產業的發電、輸電、變電與配電等系統,金融產業的外匯SWIFT網路系統,銀行業的ATM系統,以及醫療院所的HIS(醫療資訊系統),就一般人的印象,長期處在極為封閉的架構,按理說不會直接曝露在網際網路世界,少有機會被駭客攻破。

殊不知,看似固若金湯的堡壘,卻一一淪陷了。究其主因,在於伴隨資通訊技術的發展,導致廣大消費者的需求與期望,產生極大變化,迫使這些產業必須走出原本封閉運作環境,開始與企業內部網路、網際網路相互串聯,造成過去的實體封閉特性,已經不復存在,再加上營運單位對於資安防護意識有所輕忽,才讓駭客有機可乘。

在此前提下,政府現正擬定、推動的資安管理法,不僅理所當然地將政府機關納入管制範疇,也一舉將管理觸角延伸到八大類關鍵基礎設施,舉凡能源、水資源、資通訊、交通、金融、緊急救援與醫院、中央政府,及高科技園區通通入列;主要考量點,正是擔心這些產業領域如果遭受資安攻擊,唯恐引發政府、社會、經濟甚至民眾生活的巨大動盪,因而迫不得已將屬於這些領域的私人企業一併納管。

建立雙層式防禦  力阻DDoS來襲

至於其他備受關注的資安事故,毋需多說,大家都很清楚,最重要即是兩件大事,一是發生在2017年2月的券商集體遭DDoS攻擊勒索事件,另一則是在全球引發不小騷動的WannaCry勒索蠕蟲。

針對券商遭DDoS攻擊勒索,其實還可以往前、往後各自串聯類似事件,形成一個宏觀的攻擊趨勢,包括2016年底肇因於Mirai殭屍網路所引發近乎Tb級的驚人DDoS,以及2017年接近3月時,台灣幾十家學校的的網路印表機遭到駭客列印恐嚇信。

儘管這些與DDoS相關的案例,最終造成的殺傷力有不小的差距,有的導致眾多知名網路服務隨之停擺,有的只是虛驚一場、並未釀成災情,但都讓人戒慎恐懼,因為至已證明,可能受到DDoS侵襲的苦主,絕不會只侷限於線上遊戲、賭博網站或電商等有限的企業組織,各行各業、政府機關與學校都可能中招。

特別是今後隨著物聯網應用風潮崛起,連網裝置數量直線攀升,駭客可以掌握的肉雞數量隨之三級跳,所以今後DDoS攻擊流量勢必更加猛烈,要塞爆企業的連外網路已是輕而易舉之事,企業或機構萬萬不可掉以輕心,唯有及早建立雙層式縱深防禦架構-ISP Clean Pipe加上CPE防禦,猶如借助淨水廠加上家用濾水器來濾除汙水雜質,由上層ISP流量清洗中心來抵擋L3/4層次的頻寬耗盡式DDoS,輔以下層自家CPE對抗L7層次的資源耗盡式DDoS或應用層DDoS,如此才可望趨吉避凶。

分析內部流量  及早遏阻毒害蔓延

當然比起DDoS,企業或個人更加懼怕的莫過於加密勒索病毒,只因一旦重要檔案被加密、且平時疏於備份的話,簡直就像是世界末日,什麼事都做不了。

尤其從這回WannaCry來看,勒索攻擊似已邁入全新里程碑,從病毒進階成為蠕蟲,可以藉由遠端注入方式,主動把惡意程式送進本地端電腦;這也意謂著,倘若企業的員工個個保持良好習慣,絕不點擊有問題的郵件附檔或URL連結,再搭配企業對電子郵件、網路瀏覽等兩大管道設立嚴謹安控機制,看似已相當縝密的作為,今後都未必能擋得下勒索攻擊。

歷經這起風波,不少人都了解,WannaCry是駭客利用攻擊工具「永恆之藍」(EternalBlue)為基礎,經過變種加工所打造出來的產物,而所謂永恆之藍,源自於「NSA武器庫」,也就是美國國家安全局轄下駭客組織開發出來的漏洞資訊武器,拜外部駭客團隊Shadow Broker所賜,把這些武器偷了出來,並在暗黑網路市集拍賣,才讓這些原本屬於國安層級的武器,「紆尊降貴」到民間市場,進而引發軒然大波。

令人頗為擔憂,被Shadow Broker取得的漏洞資訊武器,究竟還有多少尚未投放到市場?若真的還有爾後的第二、三、四、五…一直到N部曲,全球的數位應用環境豈有寧日?

更可怕之處,被外洩的漏洞資訊武器,還不只有NSA!今年3月期間,維基解密宣布開始以「Vault 7」為代號,陸續揭露美國中央情報局(CIA)的機密檔案,據聞有上千種駭襲系統與技術,包括針對蘋果iPhone、微軟Windows、Google Android及三星的智慧電視等多項平台打造的零日攻擊程式碼。

專家研判,由於CIA流出的這批漏洞資訊武器,發展期間介於2013到2016年期間,以「新鮮」程度來說,絕對勝過NSA武器庫,因此包含一些較新的作業系統,乃至於物聯網或智慧電視等創新裝置,皆有可能在影響範圍之列,對全球企業、家庭或個人的殺傷力,勢必強過類似於「永恆之藍」的舊型武器,值得嚴陣以待。

無論如何,不管情勢怎麼演變,似乎總讓人覺得,此刻隱身於地下暗黑市集默默流傳的漏洞資訊、攻擊工具,彷彿都很高明,它們給了駭客團體、甚至駭客產業莫大的養分,只需利用多種Compiler不斷繁衍變形體,就能產出一支支足以突穿或繞過企業防禦邊界的強大惡意程式,這讓從事資安管理的工作者不禁氣餒,因為不管是現在或未來資安矛與盾之間的攻防戰,防守方都明顯屈居下風。

但全世界企業的數位轉型浪潮,截至目前,尚處於蓄勢待發的萌芽階段,展望未來,必然比現在更加精采可期,誰愈能端出技驚四座的創意巧思,引發消費者廣大迴響,誰就是市場贏家;面對如此機遇無窮的創新創業競局,企業豈可因為懼怕駭客、甚至是內賊扯後腿,繼而甘願放棄推動任何創新升級舉措?假使消極不作為,勢必與市場競爭行列漸行漸遠。

因此企業的CIO、乃至決策高層,若不想看到自己的公司,因為害怕資安攻擊而放棄創新、錯失商機,則此候必須要做的,絕不是向駭客舉白旗投降,或對威脅情勢視而不見,應化被動為主動,設法建立威脅情資蒐集機制,讓自己早一步了解世上資安攻擊形勢,剖析這些攻擊從何而來、利用哪些漏洞下手,再回頭檢視自己,評估這些威脅是否可能危及自身關鍵資產,如果是,便趕緊就教於專業資安顧問,及早修補系統弱點、優化調整資安政策,好讓自己不會輕易慘遭荼毒。

另外以往企業只想阻絕敵軍於大門之外,鮮少思考萬一敵人悄然入境,或是敵人根本就是自家不肖員工,該怎麼辦?亡羊補牢,為時絕對不晚,趕緊強化內網流量偵測、行為分析的能力,力求在異常現象發生的當下,就能有所掌握,如此才是資安王道。

更多關鍵字報導: 資安 雲端資安