中國駭客確實以台灣做為駭客攻擊試驗場，FireEye副總裁暨全球政府機關技術總監Tony Cole訪台，更揭露2014年下半年，台灣在亞洲國家中是遭受惡意駭客攻擊的第二名，凸顯台灣駭客攻擊的情況愈來愈嚴重。

（圖說：FireEye副總裁暨全球政府機關技術總監Tony Cole訪台受訪。圖片來源：FireEye提供。）

Tony Cole分享2014下半年的數據，台灣APT攻擊占54％，相較於其他亞洲國家還嚴重。從2014年第三季到第四季，台灣的APT攻擊成長26.4％，平均每一季平均成長6.6％。

（圖說：FireEye調查報告，列出2014年7至12月亞洲國家受攻擊的情況。圖片來源：FireEye提供。）

Tony Cole說，根據台灣客戶的資料來看，台灣有70％以上的機器偵測到APT攻擊，比全球平均的35％高一倍。

台灣APT攻擊的特性遍布大部分產業，駭客並不會只鎖定其中1到2個產業。台灣被攻擊最多的產業前三名是占25％的醫療、占21％的政府及占20％的電信。Tony Cole指出，其他國家政府對台灣的APT攻擊會聚焦在重大產業，例如科技業和政府單位；而犯罪組織對台灣的攻擊則會著重醫療和零售業等有個人隱私的資料，因為醫療資料有保險資料及病歷，也跟安全驗證和患者的財務資訊連動。

（圖說：台灣遭APT攻擊最常見的手法（圖左）及產業別占比（圖右）。圖片來源：FireEye提供。）

Tony Cole指出，APT駭客攻擊手法分成五個步驟，首先是駭客入侵建立灘頭堡、偷組織內部的帳號密碼、用帳號密碼在內部水平擴散、持續從遠端遙控主機電腦存取資源、最後的目標是偷走機密資料。

要成功阻擋駭客攻擊，最重要的是第一個階段要能成功偵測並阻止，因為使用駭客工具被發現，不然後續的步驟惡意駭客往往使用正常的工具和管道來進行，會讓企業在防禦過程中，非常難以偵測駭客是否已經入侵。

（圖說：FireEye列出駭客做APT攻擊時的五大步驟。圖片來源：FireEye提供。）

此外，從駭客進入新系統到企業或政府單位發現被入侵，空窗期從2013年的229天，進步到2014年的205天。Tony Cole說明，在205天的空窗期期間內，攻擊者會潛伏在組織內部暢通無阻，然而組織內部卻不會發現。

比較嚴重的情況是，有69％的客戶是由第三方通知才知道自己被入侵，不知道自己被攻擊。企業沒有準備好，也沒有自我發現的能力。

要如何因應APT攻擊呢？ Tony Cole指出，首先要認知APT攻擊並非過去想像的惡意軟體而已，背後操作的惡意駭客隨時都在修正，看最新的趨勢找方法攻擊。

其次，面臨日益升高的攻擊威脅，要建立企業對企業、企業對政府，甚至是政府對政府的公開即時分享機制。67％的惡意程式只會出現一次，而85％惡意程式在一小時內會消失，並從此不再出現。會攻擊A單位的駭客也會攻擊B單位，要自動分享才能達到聯防的效果，所以Tony Cole建議台灣政府要建立即時分享平台，並獎勵企業做匿名通報。

例如FS-ISAC銀行金融組織，全球有5千個會員，透過自動機制分享威脅資訊。美國也由民間建立ISAO（Information Sharing and Analysis Organizations），讓企業匿名分享資訊。

事實上，HITCON台灣駭客年會在1月已推出漏洞回報公益平台VulReport，另外，行政院副院長張善政也在4月1日推出資安政策2.0三大政策，也希望能加入美國主導的「網路風暴」（Cyber Storm）網路攻防演習。台灣資安的弱點多，民間及政府看來都有動作，希望資安防護的腳步要再加快。

黑帽駭客攻擊事件頻傳，為了推動台灣資安防護能量，HITCON台灣駭客年會9日宣布推出漏洞回報公益平台VulReport，10日開始營運，讓有能力的白帽駭客（資安研究人員）有發揮的空間，不要轉向詐騙、吸金等黑色產業，並改善台灣的資安現況。希望號召企業主動登錄註冊，讓VulReport平台能找到企業對的資安窗口，能即時通報。

VulReport營運團隊成員蘇展志指出，社會對駭客有負面觀感，因為常發生無聊的駭客亂改網站的事，或是黑帽駭客跟黑道掛勾形成黑色產業的情況。然而，駭客其實是資安研究人員，漏洞是資安攻防的關鍵，應該讓駭客有更好的方向走，投入資安產業，避免投入黑色產業。

（圖說：HITCON推出公益漏洞回報平台VulReport，提升台灣資安防禦能量。圖片來源：截自VulReport。）

台灣是全球殭屍網路第四大國，有很多弱點沒有被修補，企業對資安的理解不高，也沒有一個統一的弱點回報平台。蘇展志說，過去就算直接通報企業，企業會覺得駭客在找碴，並不領情。所以HITCON主動成立VulReport漏洞回報平台，讓駭客、企業、政府之間形成良好的循環，除了讓台灣的駭客往正面方向發揮所長，也提升台灣資安防禦的能量。

國際正向鼓勵駭客找漏洞

此外，國際普遍鼓勵駭客找出漏洞，能形成正向的資安環境。像是Google就成立Project Zero，鼓勵駭客找出Google的漏洞，並給出高額獎金，最高給到20萬美金。2014年8月，阿里巴巴也成立安全賞金計畫提供500萬元獎金。中國的烏雲平台也有通用性軟體安全漏洞獎勵計畫，感謝100多位白帽駭客發現200多個漏洞。

VulReport強調會審核漏洞，確定有問題才會放在公布在網站上，會把廠商的名字隱匿，也會隱蔽重要資訊，不會公布所有細節。

蘇展志說，一般企業不用付費就可以得到漏洞通報及諮詢服務，針對NGO、學校、無自行修復能力小的中小企業，VulReport會提供修補服務或諮詢，也會提供學校資安社團參與資安弱點修補實務訓練，整合原本零散的安全研究人員或社群。

（圖說：VulReport漏洞揭露流程，至少確認一個月後才會對大眾公開。圖片來源：郭芝榕攝影。）

企業可在網頁上放責任資安揭密政策

此外，VulReport指出「負責任的揭露」的重要性，有規模的企業可以成立安全回報中心，像阿里巴巴就成立安全應急響應中心。小型企業應該在網頁上放置責任資安揭密政策，歡迎駭客正向回報網站的問題，可以規定回報的細節並感謝幫你找到問題的駭客，這是很重要的關鍵，駭客可以幫你做很多事情。

為了鼓勵駭客持續找出漏洞，VulReport平台會針對找到漏洞的駭客計算積分，會員所提供的年費及額外的企業贊助，都會用來營運平台及提供駭客獎金。有政府和更多企業贊助這個平台，可以讓駭客得到適當的回饋，這個平台才能永續經營。蘇展志也強調，企業贊助VulReport是認同這個平台，VulReport還是會善盡責任揭漏企業的漏洞。

此外，HITCON也持續往下培育資安人才，17、18日將在台灣舉辦第一屆台交網路攻防搶旗賽，先前常參加國際網路攻防競賽的HITCON戰隊，也將參加2015年東京SECCON CTF新的賽制比賽。