駭客攻擊日益嚴重,台灣怎麼防?
專題故事

2014年網路駭客攻擊的情況層出不窮,FireEye報告揭露,2014年下半年,台灣在亞洲國家中是遭受惡意駭客攻擊的第二名。所謂的駭客攻擊,背後是由惡意「黑客」(Craker)來操控,除了國家型網軍為了政治目的偷取他國資料機密之外,也有地下黑金組織藉此詐騙一般人的金錢。行政院副院長日前接受路透社專訪時指出,中國駭客確實以台灣作為駭客攻擊試驗場。台灣的資安弱點多,民間及政府要如何因應?

1 臺灣APT攻擊比全球平均高出一倍!FireEye:應建立即時分享平台

中國駭客確實以台灣做為駭客攻擊試驗場,FireEye副總裁暨全球政府機關技術總監Tony Cole訪台,更揭露2014年下半年,台灣在亞洲國...

中國駭客確實以台灣做為駭客攻擊試驗場,FireEye副總裁暨全球政府機關技術總監Tony Cole訪台,更揭露2014年下半年,台灣在亞洲國家中是遭受惡意駭客攻擊的第二名,凸顯台灣駭客攻擊的情況愈來愈嚴重。

FireEye
(圖說:FireEye副總裁暨全球政府機關技術總監Tony Cole訪台受訪。圖片來源:FireEye提供。)

Tony Cole分享2014下半年的數據,台灣APT攻擊占54%,相較於其他亞洲國家還嚴重。從2014年第三季到第四季,台灣的APT攻擊成長26.4%,平均每一季平均成長6.6%。

FireEye
(圖說:FireEye調查報告,列出2014年7至12月亞洲國家受攻擊的情況。圖片來源:FireEye提供。)

Tony Cole說,根據台灣客戶的資料來看,台灣有70%以上的機器偵測到APT攻擊,比全球平均的35%高一倍。

台灣APT攻擊的特性遍布大部分產業,駭客並不會只鎖定其中1到2個產業。台灣被攻擊最多的產業前三名是占25%的醫療、占21%的政府及占20%的電信。Tony Cole指出,其他國家政府對台灣的APT攻擊會聚焦在重大產業,例如科技業和政府單位;而犯罪組織對台灣的攻擊則會著重醫療和零售業等有個人隱私的資料,因為醫療資料有保險資料及病歷,也跟安全驗證和患者的財務資訊連動。

FireEye
(圖說:台灣遭APT攻擊最常見的手法(圖左)及產業別占比(圖右)。圖片來源:FireEye提供。)

Tony Cole指出,APT駭客攻擊手法分成五個步驟,首先是駭客入侵建立灘頭堡、偷組織內部的帳號密碼、用帳號密碼在內部水平擴散、持續從遠端遙控主機電腦存取資源、最後的目標是偷走機密資料。

要成功阻擋駭客攻擊,最重要的是第一個階段要能成功偵測並阻止,因為使用駭客工具被發現,不然後續的步驟惡意駭客往往使用正常的工具和管道來進行,會讓企業在防禦過程中,非常難以偵測駭客是否已經入侵。

FireEye列出APT攻擊
(圖說:FireEye列出駭客做APT攻擊時的五大步驟。圖片來源:FireEye提供。)

此外,從駭客進入新系統到企業或政府單位發現被入侵,空窗期從2013年的229天,進步到2014年的205天。Tony Cole說明,在205天的空窗期期間內,攻擊者會潛伏在組織內部暢通無阻,然而組織內部卻不會發現。

比較嚴重的情況是,有69%的客戶是由第三方通知才知道自己被入侵,不知道自己被攻擊。企業沒有準備好,也沒有自我發現的能力。

要如何因應APT攻擊呢? Tony Cole指出,首先要認知APT攻擊並非過去想像的惡意軟體而已,背後操作的惡意駭客隨時都在修正,看最新的趨勢找方法攻擊。

其次,面臨日益升高的攻擊威脅,要建立企業對企業、企業對政府,甚至是政府對政府的公開即時分享機制。67%的惡意程式只會出現一次,而85%惡意程式在一小時內會消失,並從此不再出現。會攻擊A單位的駭客也會攻擊B單位,要自動分享才能達到聯防的效果,所以Tony Cole建議台灣政府要建立即時分享平台,並獎勵企業做匿名通報。

例如FS-ISAC銀行金融組織,全球有5千個會員,透過自動機制分享威脅資訊。美國也由民間建立ISAO(Information Sharing and Analysis Organizations),讓企業匿名分享資訊。

事實上,HITCON台灣駭客年會在1月已推出漏洞回報公益平台VulReport,另外,行政院副院長張善政也在4月1日推出資安政策2.0三大政策,也希望能加入美國主導的「網路風暴」(Cyber Storm)網路攻防演習。台灣資安的弱點多,民間及政府看來都有動作,希望資安防護的腳步要再加快。

每日精選科技圈重要消息

2 台灣資安弱點多,HITCON推出VulReport公益漏洞回報平台

黑帽駭客攻擊事件頻傳,為了推動台灣資安防護能量,HITCON台灣駭客年會9日宣布推出漏洞回報公益平台VulReport,10日開始營運,讓有...

黑帽駭客攻擊事件頻傳,為了推動台灣資安防護能量,HITCON台灣駭客年會9日宣布推出漏洞回報公益平台VulReport,10日開始營運,讓有能力的白帽駭客(資安研究人員)有發揮的空間,不要轉向詐騙、吸金等黑色產業,並改善台灣的資安現況。希望號召企業主動登錄註冊,讓VulReport平台能找到企業對的資安窗口,能即時通報。

VulReport營運團隊成員蘇展志指出,社會對駭客有負面觀感,因為常發生無聊的駭客亂改網站的事,或是黑帽駭客跟黑道掛勾形成黑色產業的情況。然而,駭客其實是資安研究人員,漏洞是資安攻防的關鍵,應該讓駭客有更好的方向走,投入資安產業,避免投入黑色產業。

enter image description here
(圖說:HITCON推出公益漏洞回報平台VulReport,提升台灣資安防禦能量。圖片來源:截自VulReport。)

台灣是全球殭屍網路第四大國,有很多弱點沒有被修補,企業對資安的理解不高,也沒有一個統一的弱點回報平台。蘇展志說,過去就算直接通報企業,企業會覺得駭客在找碴,並不領情。所以HITCON主動成立VulReport漏洞回報平台,讓駭客、企業、政府之間形成良好的循環,除了讓台灣的駭客往正面方向發揮所長,也提升台灣資安防禦的能量。

國際正向鼓勵駭客找漏洞

此外,國際普遍鼓勵駭客找出漏洞,能形成正向的資安環境。像是Google就成立Project Zero,鼓勵駭客找出Google的漏洞,並給出高額獎金,最高給到20萬美金。2014年8月,阿里巴巴也成立安全賞金計畫提供500萬元獎金。中國的烏雲平台也有通用性軟體安全漏洞獎勵計畫,感謝100多位白帽駭客發現200多個漏洞。

VulReport強調會審核漏洞,確定有問題才會放在公布在網站上,會把廠商的名字隱匿,也會隱蔽重要資訊,不會公布所有細節。

蘇展志說,一般企業不用付費就可以得到漏洞通報及諮詢服務,針對NGO、學校、無自行修復能力小的中小企業,VulReport會提供修補服務或諮詢,也會提供學校資安社團參與資安弱點修補實務訓練,整合原本零散的安全研究人員或社群。

enter image description here
(圖說:VulReport漏洞揭露流程,至少確認一個月後才會對大眾公開。圖片來源:郭芝榕攝影。)

企業可在網頁上放責任資安揭密政策

此外,VulReport指出「負責任的揭露」的重要性,有規模的企業可以成立安全回報中心,像阿里巴巴就成立安全應急響應中心。小型企業應該在網頁上放置責任資安揭密政策,歡迎駭客正向回報網站的問題,可以規定回報的細節並感謝幫你找到問題的駭客,這是很重要的關鍵,駭客可以幫你做很多事情。

為了鼓勵駭客持續找出漏洞,VulReport平台會針對找到漏洞的駭客計算積分,會員所提供的年費及額外的企業贊助,都會用來營運平台及提供駭客獎金。有政府和更多企業贊助這個平台,可以讓駭客得到適當的回饋,這個平台才能永續經營。蘇展志也強調,企業贊助VulReport是認同這個平台,VulReport還是會善盡責任揭漏企業的漏洞。

此外,HITCON也持續往下培育資安人才,17、18日將在台灣舉辦第一屆台交網路攻防搶旗賽,先前常參加國際網路攻防競賽的HITCON戰隊,也將參加2015年東京SECCON CTF新的賽制比賽。

每日精選科技圈重要消息

3 張善政:不容許中國駭客把台灣當攻擊試驗場,3大捍衛政策啟動

行政院副院長張善政日前接受路透社專訪時指出,中國駭客確實以台灣作為駭客攻擊試驗場,希望能加入美國主導的「網路風暴」(Cyber Storm)...

行政院副院長張善政日前接受路透社專訪時指出,中國駭客確實以台灣作為駭客攻擊試驗場,希望能加入美國主導的「網路風暴」(Cyber Storm)網路攻防演習。張善政1日參加「2015台灣資訊安全大會」,拋出「資安政策2.0」三大方向,第一,加強對外的透明溝通,第二,推動第二線資安監控中心,第三,著重在人才培育。

方向1、資安攻防加強對外透明溝通

張善政指出,首先,過去政府往往把資安當成機密,讓媒體和民眾不了解,所以他在2014年建議改變對外溝通的政策,向媒體及民眾說明資安的全貌,行政院資安會報辦公室開完會後也舉辦會後記者會,讓外界了解政府的資安政策。

行政院副院長張善政
(圖說:行政院副院長張善政推出資安2.0政策三大方向。圖片來源:郭芝榕攝影。)

方向2、推動國家級第二線資安監控中心

第二,推動第二線資安監控中心,資訊安全不只是買軟硬體,重點在於建立掌控全局的機制,所以將推動國家級第二線資安監控中心(SOC),結合資安軟、硬體部署,落實即時流量監控,並與第一線SOC介接,維持第一線及第二線的互動。此舉可避免政府機關不願如實提報的情形,透過第二線SOC強加資安監控。

除了要求各部會重新盤點政府資安分級制度之外,也正在草擬資訊安全管理法,希望加強資安力道。

方向3、人才培育擴大至五個面向

張善政說,包括雲端運算、社群媒體、4G/5G、物聯網(IOT)4大資訊趨勢都離不開資訊安全,所以不管是資通訊、金融、第三方支付、電子商務,亦或高科技產業,未來都將出現資安人才短缺的現象。

他表示,過去資安人才的培育主要是由教育部主導,只強調課程,而新的方向將會跨部會協調經濟部、教育部及科技部,以課程為核心,有系統培養人才。

行政院資安政策五大主軸
(圖說:行政院資安政策人才培育五大主軸。圖片來源:郭芝榕攝影。)

未來將會整合課程、競賽、平台、實習及產學合作,張善政以日前台灣駭客隊伍HITCON為例,希望能培育更多資安人才出國比賽。

其中,張善政指示行政院資安辦公室刪掉學校買軟體的預算,希望用「一元不花」的概念,邀請軟體業者贊助能力所及的軟體,並呼籲業者不要把人才培育看成賺錢的機會,而是要一起「把餅做大」,把軟體賣到各大企業,也讓資安人才進到各個產業。

為什麼希望廠商贊助學校軟體?第一,希望讓平台上有完整的軟體解決方案,供學生實習所用,第二,希望學界教授走出學校,了解業界的商業軟體及工具。第三,等於業界投入研發資源,因為台灣人才的品質很好,在使用產品的過程中,有機會發現產品之不足,而科技部產學合作將會投入80%研發資源協助研發,業界自己只要負擔20%。

行政院資安政策部會分工
(圖說:行政院資安政策部會分工,橫跨教育部、科技部及經濟部。圖片來源:郭芝榕攝影。)

每日精選科技圈重要消息