IoT、AI與GDPR為駭客添柴火 資安情勢更加暗潮洶湧
回顧2016、2017年期間,稱得上是資安的多事之秋,就算缺乏IT背景的一般普羅大眾,可能都對喧騰一時的ATM盜領、證券商集體遭DDoS(分散式阻斷服務)攻擊勒索,及WannaCry勒索蠕蟲等等事件朗朗上口。相形之下,2018年至今已過大半,表面看來,除了歐盟GDPR、台灣資通安全管理法等新的法遵議題外,似乎未出現令一般人高度關注的焦點事件,也許有人因而認為,專家們苦口婆心提醒注意的資安問題,其實不像預期般嚴重。
持平而論,對政府或企業等組織而言,與駭客的對抗是一場無休止的戰爭,不管檯面上的漣漪是大或小,可以肯定的是,檯面下必定暗潮洶湧,駭客會默默觀察人們的應用情境變化,仔細思索新的切入機會、新的攻擊武器、新的獲利模式,適時發動奇襲。換言之不管當下氛圍的演變為何,防守方都沒有掉以輕心的理由,更何況現在大家正如火如荼迎接物聯網(IoT)、人工智慧(AI)、工業4.0等等新世代,舉世萬物無論是IT、OT(操作科技)乃至一般民生消費應用,十之八九都將連網,意謂駭客的發揮舞台只會愈來愈寬廣、而非限縮,政府與企業皆應嚴陣以待。
況且事實上,2018年的資訊安全世界,也絕對稱不上平靜無波;單單在上半年,便有不少值得密切關注的事件。
路由器接連遭駭,凸顯IoT安全風險
首先是層出不窮的路由器攻擊事件。5月期間,某家台灣品牌的路由器驚傳遭駭,肇因於韌體上的漏洞,被竄改DNS設定,可將用戶導向駭客掌控的惡意DNS伺服器,藉此收集用戶的憑證;到了6月,相關事件愈演愈烈,先是驚傳多家廠牌的路由器遭受VPNFilter感染,以及Prowli惡意採礦活動肆虐,此後還有號稱Mirai的變種「Satori」新殭屍病毒現身,讓許多路由器受害。
上述攻擊事件情節不一,災害程度也不同,例如Satori會入侵你的路由器,輾轉控制大量IoT裝置,繼而取得DDoS攻擊火力;Prowli會在被駭設備上植入採礦程式,從而將合法網站的流量導至惡意網站,讓駭客可出售流量、達到盈利目的;至於VPNFilter會把HTTPS加密傳輸降級為HTTP,抹除攻擊蹤跡,讓駭客好整以暇進行諸如Rootkit、竊資等惡意活動。以受害者自身立場來看,VPNFilter的嚴重性顯然最高。
但無論如何,這些攻擊活動的矛頭,都不約而同指向路由器,意謂隨著人們上網時間愈來愈長,且連網裝置愈趨多元化,駭客體認到與其瞄準一般人未必長時間使用的個人電腦做攻擊,不如直接針對路由器下手,如此一來不管你的連網裝置為何,通通難逃他的魔掌;這般惡意行為的後續發展脈絡,相當值得審慎觀察。
其次是某大知名訂房系統遭駭,其伺服器被植入惡意程式,導致業者在全球的飯店客戶一起遭殃,有10餘萬名住客的個資遭竊;其實在這起事件的不到一個月前,就已出現頗受矚目的個資竊盜事件,受駭對象是兩家加拿大的銀行,不過情節稍有不同,因為駭客另外還搭配勒索行為,揚言如果銀行不支付贖金,就會把大量客戶個資公諸於世,據網路防禦AI公司Darktrace的研究人員研判,駭客有可能是利用魚叉式網釣攻擊(Spear Phishing)手法攻進這些銀行的系統。
接下來所談的攻擊事件,苦主一樣是銀行。繼過去轟動一時的孟加拉央行、台灣遠東銀行等SWIFT遇駭事件後,SWIFT攻擊再度發生,對象是智利的Banco de Chile、馬來西亞央行,但兩者結局不同,前者因而損失1千萬美元,後者在察覺疑似有SWIFT外匯轉帳的異狀發生後,隨即啟動風險控制措施,未讓駭客得逞。
但問題來了,看似應該固若金湯的交易接連失守,且以今年的兩起個案來看,癥結都在於先有員工電腦遭入侵,才讓駭客建立灘頭堡,有機會藉由銀行內網的橫向擴散,朝向SWIFT系統步步進逼;足以顯示,其實銀行與一般其他企業、甚至政府機關應當有所體認,現今單靠傳統閘道式防禦,很難把駭客阻絕於大門之外,因此必須拋開100%有效預防這種不切實際的想法,轉而做好自己一定被駭的前提假設,認真思索應該如何強化內網安全偵測與應變能力,才是正解。
GDPR助攻駭客,竟淪為勒索題材
另不容忽略的重大資安課題,便是GDPR法遵。現在大多數人應該都知道,已在今年5月25日正式上路的該法,堪稱是有史以來最嚴苛的個資保護規則,不僅對於敏感性個資的定義範圍甚為廣泛(例如包含IP位址、Cookie),且形成觸法的可能性很多,比方說因為個資保護不力而致惡意的第三方竊取,使用歐盟公民個資但已脫離當初約定目的,未配合處理個資持有人主張的遺忘(刪除)、可攜或更正等應有權利,縱使個資未外洩但安全防護的水準欠佳或未完善保存個資的使用記錄,以及一旦爆發個資外洩資安事件、未能在規定的72小時內通報主管機關及因事件受害的當事人,只要踩到這些地雷,都可能被認為違法。
更可怕的是,萬一被歐盟當局認定違反GDPR,倘若情節重大,最高可能被裁處2千萬歐元(約新台幣7.2億元)、抑或年度全球營業總額4%的鉅額罰款,罰則之重不僅為全球其他類似法案所罕見,且依台灣多數企業皆偏向中小型規模的現實而論,只要不慎挨罰,絕對會嚴重到動搖國本,萬萬不能不當一回事。
在此前提下,許多資安業者在最近一年多時間,紛紛以GDPR法遵為主題,舉辦多次研討會或論壇,意在提醒與歐盟有較多生意往來的企業,必須及早從技術面、管理流程面、組織架構面、甚或企業文化面著手,傾全力做好必要的個資盤點工作,從而針對不足之處,積極強化個資保護機制。
有趣的是,GDPR話題的延燒,也意外給予駭客莫大靈感,進而釀成讓企業哭笑不得的事件。比方說不久前有一家保加利亞的資安廠商Tad Group,揭露一種名為Ransomhack的新式勒索攻擊,駭客不像以前入侵後執行檔案加密,而是玩得更大,竊走企業個資後進行勒索,揚言企業若拒不支付贖金,就公開這些個資內容,讓該企業因而吃上歐盟的鉅額罰鍰。
基於前述種種事件,顯見駭客攻擊不僅未銷聲匿跡,反而入侵手法更見細膩、獲利模式更見高明,企業唯有不斷加強防禦,才能明哲保身。
[ 縱使安全技術日新月異,但個資和營業秘密外洩事件仍層出不窮...即將於7/19舉辦的2018雲端資安論壇,邀請多位資安專家與您一起面對恐懼、掌握防禦心法、獲取免於恐懼的自由!活動完全免費,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]