中油勒索病毒事件幕後黑手來自中國,威脅「再攻10家台灣企業」,資安防護該怎麼做?

2020.05.19 by
蔣曜宇
中油勒索病毒事件幕後黑手來自中國,威脅「再攻10家台灣企業」,資安防護該怎麼做?
shutterstock
調查局日前公佈,攻擊中油等公司的中國駭客團體Winnti Group,鎖定要攻擊另外10家台灣企業。企業究竟如何應對?安碁資安長顧寶裕提供了他的建議。

在5月4日至5月5日間,國內多間重要能源及科技公司如中油、台塑及記憶體封測廠力成接連傳出遭勒索病毒攻擊,三間公司都緊急要求員工關機斷網,其中中油的捷利卡、車隊卡及中油PAY等支付工具皆被迫暫停使用,直接影響顧客權益。

由於攻擊事件發生在520總統就職前夕,時機敏感,而能源公司屬關鍵基礎設施,一旦停擺對國家整體影響甚巨,因此外界相當關心是否有國家級駭客牽涉其中。對此,法務部調查局於15日時公佈調查結果,研判 攻擊行為來自中國駭客組織「Winnti Group」,並表示該組織也預謀在近日針對國內另外10家企業再度發動勒索軟體攻擊。

在勒索病毒風險不斷升高的情況下,企業究竟該如何應對?《數位時代》專訪協助政府防護多項關鍵基礎設施、提供數位鑑識服務的安碁資訊資安長顧寶裕,進一步了解勒索病毒的攻擊特色,以及企業所需採取的相關措施。

勒索病毒特色:事先潛伏、伺機而動

「一般小駭客如果只是要錢,其實是不會去打關鍵基礎設施的。他們自己也知道,攻擊了自己恐怕也會出大事。所以此類事件,通常都是背後有靠山。」針對此次勒索軟體攻擊,顧寶裕一點也不懷疑背後的國家級勢力。

「許多勒索軟體其實早就潛伏在企業網路裡部署,等時間到了再同時發動,讓破壞效果更大。」安碁資訊資安長顧寶裕表示。
安碁資訊

顧寶裕指出,像是中油這種攻擊關鍵基礎設施的勒索病毒事件,目的除了金錢,就是政治因素。他說,最近防疫單位在徵求以觀察員身份加入WHO的議題上跟對岸有衝突,加上520總統就職典禮在即,這些都有可能是駭客發動攻擊的原因之一。

能夠針對特定時機發動攻擊,也彰顯了此類駭客攻擊的特色: 事先潛伏、伺機而動。 「許多勒索軟體其實早就潛伏在企業網路裡部署,等時間到了再同時發動,讓破壞效果更大。」顧寶裕說。

一般來說,勒索病毒入侵的途徑相當繁雜,有可能是員工不小心點選了釣魚郵件、有可能是遭感染的USB被插入公司電腦、也可能是駭客透過軟體漏洞植入惡意程式。在順利進入企業內網後,駭客會試圖破解AD(網域控制伺服器)或者具備派送功能的資產管理軟體權限,將病毒擴散到轄下的各台電腦後伺機潛伏。

令人擔憂的是,潛伏中的勒索病毒,通常難以被偵測。像安碁這樣的資安廠商,雖然可以在案發第一時間協助受駭企業了解狀況、控制感染範圍、保留證據,並進行數位鑑識調查來釐清根本原因, 但最重要的,仍舊是企業本身平時有無做好防範,以及危機當下的即時反應。

面對勒索病毒,企業如何落實資安防範?

顧寶裕表示,要防範勒索病毒,在事前就必須做好資料備份及異地備援、將備份資料做加密,並在發現病毒的當下防止感染擴大,儘快關機斷網,保留證據讓鑑識單位分析。

「我們通常會把出問題的硬碟整個複製下來,如果在裡面發現病毒樣本,就會送給趨勢科技、賽門鐵克等防毒軟體商針對程式的特徵製作病毒碼。這樣一來就可以透過防毒軟體來清理公司內部的每一台電腦。」顧寶裕說。

在中油事件過後,安碁也整理出數項資安重點寄給他們所有的客戶,進一步落實防範措施:

  1. 確實保護AD管理者,加強密碼強度、管制登入位置。
  2. 加強備份,確實執行弱點補強。
  3. 確認所有防火牆設備的規則管理、嚴格限制外部遠端桌面協定(RDP)相關設定。

  4. 檢查整體網路架構,是否有未經允許或遺漏的線路,可能造成外對內連線的風險。

  5. 確認主機管理帳號是否存在弱密碼,如鍵盤組合(1qaz2wsx等)、常見的弱密碼(Passw0rd等),若有立刻更改。

  6. 掌握單位內防毒軟體是否安裝及更新情況,未安裝或更新異常應立即處置(以中油事件為例,趨勢防毒從849版以後病毒碼皆可偵測)。

  7. 網路上的芳鄰共享資料夾建議盡量不使用,如要使用應設定密碼存取,避免遭惡意程式存取利用。

此外,顧寶裕也強調屬於關鍵基礎設施的企業應落實IT(資訊科技,泛指一般企業網路)與OT(維運科技,泛指工業生產環境)的區隔。

OT端應儘量減少暴露於網路環境中、並實施網路隔離性檢測,並進一步確認原廠總部遠端連線至工廠的權限及管制措施。然而,在物聯網及大數據崛起的趨勢下,OT的資安管理也成了一大隱憂。

"Security by design",才是最好的資安規劃

「30年前的OT真的是一點資安狀況都沒有,」顧寶裕說,「但工廠不可能一直維持過去的樣子, 想要推動自動化、智慧化生產,廠區內就需要有IoT與更多的連網設備,大數據分析也使得越來越多企業開始要求廠區要及時將數據傳送回總部進行分析。 」不過,追求營運效率提高競爭力的同時,資安防護也變得越來越吃力。

顧寶裕強調,OT與IT不同,IT懂得重視資料的隱密性,但OT的第一要務就是讓廠區不斷生產、提高效率,思考方式不同。「台灣許多中小企業自己跑去蓋自動化工廠時,大概只會考慮到生產效率提升,完全不會想到資安問題。」

顧寶裕分析,台灣OT端的資安防護機制大約是在2017年才開始起步。主要是2017年《資通安全法》通過後,政府要求國家關鍵基礎設施須加強資安防護後,相關國營事業的OT資安意識才開始跟進。

然而,作為全球最常遭受駭客攻擊的國家之一,台灣沒有緩步發展資安防護的條件。行政院資通安全處處長簡宏偉曾表示, 台灣政府1個月被惡意程式攻擊的次數高達2,000萬到4,000萬次 ;資安大廠Check Point也在2019年的報告中更指出, 台灣被駭客攻擊的次數,是全球平均的2倍之多。

中油在5月初遭勒索病毒攻擊時,旗下捷利卡、車隊卡及中油 PAY 等支付工具皆被迫暫停使用,公司也要求員工關機斷網,嚴重影響營運。
中油

「關鍵基礎設施一旦被攻破,系統中斷,將造成嚴重損害。」顧寶裕舉例,去年五月美國巴爾的摩市政系統就曾因勒索病毒而癱瘓,市政府雖然拒絕支付贖金,但仍舊花了近一個月恢復受駭的上萬台電腦,期間估計損失高達1,820萬美元。 「對某些企業來說,直接支付贖金恐怕是最省錢省力的選項。」

今年是5G元年,其所帶來的網路高速流量也將是下一個重大資安挑戰。NCC就規定,任何申請5G應用的單位皆須提交資通安全維護計畫,在系統規劃的一開始就將資安當成一個評估項目。

「這就叫做"Security by design"(安全始於設計)。這樣的資安規劃,才是能最有效防堵駭客攻擊的做法。」 顧寶裕表示。

責任編輯:蕭閔云

延伸閱讀

每日精選科技圈重要消息