![[查士朝] 一銀盜領案的後續檢討](https://3.bp.blogspot.com/-HhVUq4zXmzA/V6L8Jqopo-I/AAAAAAAC-fo/CV14PEyWZL8-Zlx_PQzbfXPSJDZQwllIgCKgB/s400/)
在一銀事件處理告一段落之際,應邀對一銀事件最後做個回顧與檢視。為此,我們特別再把相關的新聞都拿出來檢視一次,可以發現隨著時間的演進,事件的全貌也越來越清楚:
第一銀行ATM自動大量吐鈔,遭盜領七千多萬元。圖片為第一銀行示意圖,非指涉此分行為出事銀行。圖片來源:第一銀行網站。
- 7/19 ,許多新聞提到更新系統把惡意程式派送到 ATM,但這中間還缺了駭客到底是如何連接到 ATM 去做控制那一段。
- 7/25 ,的「駭客入侵一銀ATM流程追追追」一文中,可發現相關報導對於駭客入侵的流程已經都蠻清楚。
當然,詳細的路徑可能沒有那麼具體的呈現,像是如果是透過釣魚郵件來散佈,那麼這釣魚郵件是感染到哪台電腦?接下來,到底駭客是怎樣可以持續地從外網連接到內網,這條路徑到底找出來沒有?
筆者並不苛求在新聞上要看到這方面的資料。基於保護銀行資訊安全的角度,不用對外給到那麼詳細的資料。有些令一般大眾疑惑有內鬼的疑點,例如駭客如何知道實體機器與 IP 的對應,其實只要有人在某台 ATM 前與駭客通電話,一台一台換 IP 測試,看看吐鈔口有沒有打開,就可能可以知道答案。
像這類追本溯源,除非抓到操作網路的人,不然也無法確知答案。尤其當駭客知道用 sdelete 去刪除痕跡的情況下,的確不容易找到軌跡。在進入正題前,筆者先來聊聊為何鑑識人員一般都得花很大功夫,去每一台主機去找跡證。
內網流量紀錄的好處
邏輯上,如果第一銀行有把所有內網的傳輸資料都記錄起來,那駭客做了甚麼,以及攻擊的軌跡就都清楚了。但一般企業因紀錄的硬體成本太高很少採用這個作法。簡單舉例計算,如果每秒網路傳輸是 10M bps 的話,約當每秒傳 1.25 M 位元組,一小時就需要 4.5 G 的容量,而這只是其中一台電腦的傳輸量。
所以除非一些特別的狀況,不然很少有人會把所有的網路封包都存起來。畢竟要花的成本太高了!正因為沒有這樣的資料,因此辦案人員只好把每一台主機的硬碟來掃掃看有沒有安裝後門程式的痕跡,但是如果程式被刪了,當然要重建路徑就有困難。
建議一、這次事件事實上讓金融機構帶來許多重新檢視資訊安全的機會,但絕不能最後只是換機器或補人來解決而已。金融機構應該整體去思考整個資訊安全的策略與佈局,做出最佳化的配置!
我為什麼一開始要先強調這個?最主要還是回來根本概念:很難有絕對安全的事,如果甚麼都不做最安全。
只要你要提供服務,就有可能有漏洞,進而有被駭客攻擊的可能。重點是你要知道問題然後有一定的對策。舉例來說:現在大家攻擊的箭靶之一是為何不升級 Windows XP,但如果照新聞寫的,駭客是透過更新去啟動 telnet 服務,其實要在非 Windows XP 的電腦透過更新去做到這件事也不是件難事。你要大家花那麼多錢去把系統都更新了,雖然增加了難度,但就短期成本效益來說,並不一定划算。
現在大家攻擊的箭靶之一是為何不升級 Windows XP,但如果照新聞寫的,駭客是透過更新去啟動 telnet 服務,其實要在非 Windows XP 的電腦透過更新去做到這件事也不是件難事。
長久來說,那些機器是該更新!但此時如果請一批資安專家去把防火牆的設定重新徹底檢視,並且加強對於內網的流量監控會更有效益。類似的例子還很多:例如做流量監測,其實也不是說要立刻去搞個巨量資料的解決方案,去把所有的網路封包都收起來分析。事實上,只要能夠先做好對於資料流的記錄與分析,不需要記錄傳輸內容,只看每個連線來源、目的與頻率,就可能有一定的效果了,這需要的成本就會差很多倍。
但為何大家會傾向於提這些大規模採購?以筆者個人的經驗來看,買和換這件事最簡單!對銀行來說,這是最快跟大家證明,我行投資資訊安全來解決問題的方法。同時,對外部一群虎視眈眈的廠商來說,這當然可以有一筆機會財,也會朝那個方向推進。
筆者個人推測,現在大概每家銀行或金控的資安部門,每天會接到數通跟你講說他有各種方案讓你不要成為一銀的廠商電話。我在這邊首先呼籲,如果因為這件事情,讓老闆或社會大眾開始對資安受到重視,當有一筆資金挹注,還是要冷靜地去按照原先排定的優先順序去執行資安工作,畢竟 ATM 憑空吐出鈔票,大概是資安事件裡面最容易受到大眾注目的事件,以後不見得會再有這樣的事件發生。如果最後只是得到買了一些設備,或是讓資安部門補給個人,這就會很可惜。
建議二、既有的資訊安全規範都已經有要求,但重點在於實際落實
很多前輩與專家有提到:雖然一銀有通過 ISO/IEC 27001 與 ISO/IEC 20000,但範圍不及於 ATM。但其實在 ISO/IEC 27001 的 2013 年版,相較於之前的 2005 年版,特別強調範圍的決定應該是要有一個評估的過程,我覺得外稽單位應該要負起一定的責任,用這條去要求各組織資訊安全管理制度的涵蓋範圍。不過除了 ISO 27001 以外,我國本來金融機構就有金融機構辦理電腦系統資訊安全評估辦法,其中就明訂:
「直接提供客戶自動化服務或對營運有重大影響之系統(如電子銀行、分行櫃台、ATM自動化服務等系統)應該每年至少辦理一次資訊安全評估作業」。而資訊安全評估作業包括:
(1)資訊架構檢視、
(2)網路活動檢視、
(3)網路設備、伺服器及端機等設備檢測、
(4)網站安全檢測、
(5)安全設定檢視、
(6)合規檢視。
其中,有關合規檢視主要是要評估是否有滿足民國九十四年所訂定之「金融機構資訊系統安全基準」。此外,也要求要進行社交工程演練。
很諷刺的是,如果這次一銀事件如報導,代表他們社交工程演練失效,網路設備檢測未找出問題,網路活動檢視未發揮應有的功能。而這可以回推到讓他們通過 ISO/IEC 27001:2013 的外部稽核單位,這算是法規有訂定的要求,這是在決定 ISO/IEC 27001 範圍的必要項目,也就是說,ATM 與相關系統是屬於規定當中「直接提供客戶自動化服務或對營運有重大影響之系統」,外部稽核單位應該直接用這條就可以取消沒有把 ATM 納入範圍金融機構的 ISO/IEC 27001 證書。
所以不是國內沒有規範,重點在於規範的落實,尤其像是金融機構辦理電腦系統資訊安全評估的規定。這規定的檢測方向大致完備,除了在網路活動檢視檢視上,這點其實只要補強對於內網流量的監控與分析即可。
建議三、正視銀行短期不太容易找到一群技術專家的問題,建議先加強資安部門的稽核權力
前述規範落實其實有一個可能性是有執行但是看不出問題。這可能是因為技術上的難度,資安是一個很廣泛的領域,很少有人全部都懂,因此包括在稽核上面有些人一聽到一些專有名詞,一方面大家過去以訛傳訛就有一些刻板印象就算了,另一方面可能也是因為不懂想說不要丟臉就不追查下去。舉例來說,大家都講 ATM 是 SNA 專屬網路,所以可能你稽到這邊就停了,但是專屬網路和封閉網路是不同的,專屬網路是底下的協定是有專利你不能亂實作,但是並不見得外面不能連,我不知道一銀實際上是怎麼做,但是網路上搜尋可找到很多 SNA 和 TCP/IP 的整合方案,事實上,這次一銀事件也是透過 TCP/IP 從遠端連到 ATM。所以要執行工作來說,技術還是需要加強。
然而,目前一般資安稽核人員的能力要求,即便要求上過 ISO 27001 LA 課程或是取得 CISSP,對於特別技術還是不見得很懂,因此資安或是稽核人員,對於他的稽核標的,其實除了管理知識以外,技術知識也有一定的需要。
不過,要找資安人員的話,一家銀行要自己擁有很多專業的資安人員很困難,畢竟一般銀行資訊人員的薪水和專門做資訊技術的公司相比有些落差,而且一個工作環境如果大部分都不是那個屬性,人很容易會覺得孤單。因此我講專業重要,但考量到現實,不太可能立刻去配置那麼多專業人力。技術專精的人才銀行如果銀行聘請有困難,除了要找外部顧問協助外,另一個就是儘可能結合很多銀行,或是由銀行公會去建立各類設備的安全基準,當然銀行公會有訂定「金融機構資訊系統安全基準」,這主要是要做出針對各種不同系統的版本。
此外,筆者覺得資安部門的稽核權力應該要加強,一般資安措施要落實,你稽核開缺失最快,畢竟你缺失到時候要被公司的董事會討論,然後直接就可以由董事會要求進行相關改善工作。另一方面,常聽到園區有些單位,如果抓到委外廠商違反資安規定,只要被抓到一個次數那個廠商以後就永不合作;也聽說在外商工作的朋友說,凡是有違反資安規定的情況,抓到就會開除。當然要做到這些事情可能有些爭議,但是正如商鞅立木建信一般,就是豎立一些典範就會有效果。
建議四、有系統的亡羊補牢吧!
有系統地亡羊補牢吧!
最後,我們一般可以相信,銀行一般都有做到一定程度的資安防護,只是可能沒有那麼完全。因為銀行或金融單位的資訊資產龐大,我想或許許多銀行單位已經有在做,都應該已經盤點出所有的資訊資產以及設定。因此就是再次去確認這些資訊資產的設定與實際狀望相符,並且可以像滅火器一樣,直接就標示到底這個就滅火器上次檢查是甚麼時間點。雖然資訊資產可能不容易做這樣的標記,但是在資料庫或清單上,應該可對於每個重要資訊資產,標示出上次做資安檢查的時間,這樣即便你每次執行是用抽樣,最重要的是在一個期限內一定會全部檢查到。
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長800至1000字,兩天內會回覆是否採用,文章會經編輯潤飾,如需改標會與您討論。
@@ACTIVITYID:638@@
