隨著疫情逐漸緩和,台灣也逐步重啟經濟活動與放寬限制,開始邁向嶄新的「後疫情時代」。然而,5 月份幾起針對總統府與中油、台塑化的網路攻擊,以及在遠距工作下興起的視訊會議工具 Zoom 所引發的資安風波,讓許多才正準備大展身手的企業,再次繃緊神經,除了重新檢視內部的資安控管是否確實,更全神貫注準備迎接這波威脅。
「資安即國安」! 政府及國營事業的下一步?
根據行政院資安處統計,台灣公部門每個月遭受的網路資安攻擊高達 3000 萬次,這個數字與歐洲國家一個月只有幾萬次相比, 台灣受攻擊的頻率非常高。而除了攻擊次數增加,潛伏期更長、 針對性更強的攻擊也持續「不動聲色」地對企業造成損失,例如中油與台塑在 5 月初接連遭駭客入侵並被植入勒索病毒而導致的系統癱瘓,以及總統府在就職前夕所發生的資料外洩與變造事件,皆是跟具有持續性且高針對性的「進階持續性威脅」(APT, Advanced Persistent Threat)有所關聯。
什麼是 APT 攻擊?
APT 攻擊,號稱是「最難防的資安攻擊」,簡單來說是針對「特定對象」所進行的「多重」、「多方位」網路攻擊。與 DDoS 攻擊(Distributed Denial of Service ,分散式阻斷服務攻擊)不同,DDoS 的目的很明確,就是透過大量的封包與請求使系統癱瘓,讓網站服務中斷;而 APT 則是不限單一形式的攻擊手段,從一開始的搜集情報,到後續使用惡意軟體、弱點掃描等,長期並針對性地利用不同方式搜尋企業的資安漏洞,並在時機成熟時攻破其資安措施。
根據法務部調查局於 5/15 公布的調查結果,駭客在數個月之前,就藉由員工的工作裝置、網頁伺服器,以及 DB 伺服器等管道,入侵公司的內部網路,開始潛伏並加以刺探環境,伺機竊取特權帳號再入侵網域控制伺服器。掌握網域控制伺服器後,駭客利用凌晨時段竄改群組原則(GPO),進行派送駭客執行勒索軟體的惡意排程,一旦員工啟動電腦,就會立即套用上述原則並自動執行,啟動駭客預埋在內部伺服器的勒索軟體,下載到記憶體內執行,成功加密電腦檔案。
APT 並不是一種新的攻擊手段,也無法藉由阻止或破壞一次攻擊就讓問題消失;
APT 更被視為像是一個網路攻擊活動而非單一類型的威脅
面對一波又一波的駭客攻擊,政府的下一步顯得格外重要,尤其攻擊對象已經涉及到總統府及國家的關鍵基礎設施。「資安即國安」,政府除了強化安全防禦外,目前也已加速研擬「資安即國安 2.0戰略」,除提高資安人才培訓能量外,同時開發資安產業創新技術,將台灣打造為堅韌資安之國。
Work From Home 下的資訊危機?企業更應強化員工的資安意識!
在企業層面,根據國際資安大廠 Check Point 最近完成的資訊安全報告指出,由於疫情的影響,迫使許多企業採取 人員分流 或 遠距工作 的策略。在資訊安全防護環境相對薄弱的情況下,針對企業的網路威脅及攻擊事件也有逐漸增加的趨勢,這包括網路釣魚攻擊、宣稱提供疫情資訊或建議的惡意網站及勒索軟體等。
儘管網路威脅的種類與數量正在增加,協助企業實踐遠距工作的資安管理也有許多應對的解決方案,例如
- Cloudflare 的 Access 與 HENNGE 的 Access Control 能協助企業控管對於網路應用程式的存取;
- Check Point 的 CloudGuard SaaS 與 Barracuda 的Phishline 可以有效防禦網路釣魚攻擊;
- Okta 與 HENNGE 的 Access Control 能驗證員工的身份,防止不正當的存取或登入。
然而,縱然有再多的解決方案,資安人力的不足也是企業的一大隱憂。許多企業總想透過購買資安產品以強化防禦系統,但內部卻沒有足夠資安人力能進行管理,導致即使花費高額的成本資安仍然漏洞百出,資訊危機依舊存在。
資訊安全最脆弱的環節:員工
資安攻擊的來源分為內部跟外部,儘管企業採用的防護機制、資安解決方案再多,能有效阻擋來自外部的駭客攻擊,還是有可能因為內部員工的疏漏而造成損失。根據 iThome 2019 臺灣資安大調查,就重大資安風險的比例而言,2019年前兩名分別是「員工疏忽、欠缺資安意識」,以及「惡意程式」,第三名則是「釣魚攻擊」,前三名就有兩個跟員工的資安意識有所關聯!而關於企業無法阻擋資安攻擊的原因當中,排名前五大的因素,比例大多比去年低,但居首的「員工資安意識不足」不動如山,仍是63.1%,顯見企業必須持續進行相關的宣導,不能鬆懈!
小結
隨著雲端服務的普及,企業必須徹底了解自己將面臨何種資安威脅,並且隨時做好準備。此外,即使是最先進、最強大的安全防護技術,面對如此防不勝防的網路攻擊也不可能萬無一失,只要員工隨手點開一個釣魚的惡意附件就可能導致企業的網路安全曝露在風險中,因此,透過培訓讓員工了解資安的重要性與提高員工的資安意識,對企業尤其重要。
文/Johnny Zhou