[專欄] <%:data.title%>

專題 <%:data.title%>

<%:~nl2br(data.summary)%>

<%:data.subtitle%>

<%:data.subtitle%>

#<%:prop.issue%>

<%:~formatDate(prop.online_date, 'YYYY MMM DD')%>

<%:prop.title%>
<%props prop.kols%>
<%:prop.realname%>
<%/props%>
<%if prop.column_id != 0 %> <%/if%> <%if prop.topic_id != 0 %> <%/if%>
<%:prop.realname%> <%:prop.realname%>
<%:prop.realname%>

<%:prop.realname%>

<%:prop.intro%>

add
新會員

<%:prop.email%>

add
你有「駭客思維」嗎?上億次資安攻擊等同「資訊戰」?

ISSUE #073

你有「駭客思維」嗎?上億次資安攻擊等同「資訊戰」?

2022-11-29 11:30:00

裴洛西訪台,媒體上發布「網站每分鐘達 1.7 億次攻擊」、「電子看板遭入侵」,數字跟畫面看了令人緊張,但這些攻擊其實沒有想像中恐怖。大眾對「資訊戰」有什麼誤解?企業和個人如何避免成為資安破口?

#不亂點選連結是基本功 #哪種網路攻擊是重要的 #資安人才需求升高

陳信如

陳信如 / 採訪編輯

採訪寫作

陳卓君

陳卓君 / 副總編輯

審訂

圖片來源 - Unsplash

questionquestion

發生什麼事?

美國眾議院議長裴洛西 2022 年八月訪台,駭客透過跨境阻斷服務攻擊外交部、總統府網站,並侵入電子看看版,出現五星旗、恐嚇文字,再度引發資安討論。

  • 以色列資安公司 Check Point Software 發布的《2022 年網路安全報告》顯示,2021 年企業每週遭受網路攻擊的數量,相較 2020 年增長 50%,攻擊目標包含關鍵基礎設施、雲端服務等。
    • 中油、台塑在 2020 年被駭客攻進伺服器,中油之車隊卡、中油 PAY 等支付工具無法使用,民眾無法加油影響營運。(奧義智慧科技
    • 南韓早於 2013 年出現「黑暗首爾事件」,電視台的電腦當機,實體銀行、ATM、網銀系統也故障,金融服務、電視媒體皆停擺。(iThome


駭客要的是什麼?

  • 由國家資助的攻擊,目的是引起社會恐慌。
    • 裴洛西訪台的網路攻擊,不管是電子看板、癱瘓網站,駭客的展示性、宣示意味強烈,不是成熟的攻擊方式。(詳見文末 菱鏡執行長趙正宇訪談)
    • 中油事件非金錢勒索,駭客選在中午發動攻勢,加油人潮多且為午休時間,資安人員難以立即回應,當加油的民眾無法取得服務,就會造成動盪與社會輿論。(奧義智慧科技
    • 除外,駭客早在 2016 年就取得中油的主機控制權,長期潛伏系統偷資料,推測可能當時正值 520 總統就職前夕,而發動攻擊。
  • 看上個資經濟價值,潛伏偷資料。
    • 帳號、密碼的資料庫對駭客的價值高,用戶可能原封不動或稍加變化這組密碼後,使用於其他裝置上。若用戶在目標單位任職,用「人」的破口入侵最快。(詳見文末 菱鏡執行長趙正宇訪談)


企業與民眾如何應對?

資訊安全在數位時代越顯重要,不僅是政府、企業,甚至到個人,都有可能成為駭客切入的破口。菱鏡執行長趙正宇與戴夫寇爾執行長暨共同創辦人翁浩正分別針對企業端、民眾端提出應對策施。

  • 資安意識的培養:識別出「重要」與「不重要」的攻擊。「每秒幾千次、幾萬次攻擊」這些數字意義不大,單純用電腦跑程式而已,侵入電子看板更有可能是學技術的學生在亂打,加上廣告媒體系統使用中國軟體,有後門或木馬程式才成為攻擊對象,民眾不需要恐慌。
    • 駭客駭進中油主機的伺服器,這就屬於「有針對性、技術含量高」的攻擊,比較危險且企業需特別防範。
  • 企業端:有紅隊(駭客)思維的資安訓練。
    • 企業目前最缺「看得懂」資安訊息的人,現今網路攻擊非常多,有些是程式隨機亂打,有些是真的要注意的,不要系統跳出警示訊息,資安人員卻未有警覺。
    • 資安公司如戴夫寇爾(DEVCORE)、菱鏡(TrapaSecurity),提供企業資安教育訓練,用紅隊實際演練方式,讓企業評估藍隊(企業資安人員)防禦能力,知道如何偵測攻擊,予以攻防應對,
  • 民眾端:正確使用行動裝置,盡量減少破口。
    • 高階的攻擊擋不了,駭客也不會浪費高級的漏洞去打民眾,大家能做的是謹慎操作行動裝置,來路不明的連結、App 不要點選或下載,密碼也依照重要性分三級使用。全民應有「駭客思維」,時常盤點帳號密碼,切割工作設備與家電系統,避免單一系統被攻擊後連動到其他裝置。


未來該如何?

  • 資安知識的識讀能力很重要,民眾要能分辨哪些是重要、不重要的資訊,避免造成不必要的恐慌,正中駭客下懷。(詳見文末 菱鏡執行長趙正宇訪談)
  • 金管會明訂上市櫃公司在 2022-2023 年底,需設立資安長、資安專責單位,勢必強化企業的資安教育,可見資安人力需求將會成長

當資訊戰成為必然,我們需有什麼資安防衛意識?請看《旭時報》與資安專家的深度對談。

深度對談

question
今年八月裴洛西來台,外交部、總統府、國防部等政府機關的網路被駭客攻擊,超商的電子看板也被入侵。駭客是用什麼攻擊、入侵方式?想獲取的又是什麼?

共 0 則對談

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

當一台主機被攻擊方或惡意的駭客、網軍入侵後,攻擊方即掌握控制權,可直接操控主機,包含存取資料、刪除或破壞資料,甚至可將資料外流以獲取更多利益,嚴重的話可能導致設備或主機停擺,甚至動搖國本,這是我們對入侵的定義。

駭客攻擊則可依照手法跟技術分為許多種,常見的包含 DDoS(denial-of-service attack,分散式阻斷服務攻擊)、APT(Advanced Persistent Threat,進階持續性威脅攻擊)等。前陣子多間企業與組織的官方入口網站受到多次網路攻擊,即為 DDoS 攻擊,透過殭屍網路或多台主機,在同一時間針對單一系統攻擊,造成網站流量過大,導致網頁癱瘓且服務中斷。

APT 攻擊,則是...

2022-11-23 17:30:09
趙正宇

趙正宇

菱鏡執行長

這次的事件主要偏向駭客想要「展示自己能做到什麼」,有一種宣示的感覺,但這樣的行為也相對不成熟,因為在駭客世界裡,一但曝光自己能做什麼事情,足夠能力的資安從業人員就能逐步推導出駭客如何入侵,最終讓駭客失去對設備的控制權,像媒體報導「每秒幾千次、幾萬次」的攻擊,這些數字其實都沒有意義,實際上就只是用幾台機器跑程式而已,想要癱瘓電腦網路流量,這是比較低階的攻擊手法

攻擊手法非常多樣化,簡單來說「攻擊、入侵」就是指駭客知道你開了什麼服務,這個服務上有哪些漏洞,再用漏洞去做原本這個服務不想讓你做的事情,或獲取不該獲取的權限跟資料。以超商電子看板為例,駭客就是用電子看板上的漏洞,入侵系統後放上不該顯示的內容,這種攻擊比較社會觀感層面,駭客攻擊就是要「拿到機器的控制權」,而且是希望「在不知不覺下」得到控制權

一般針對企業或政府的攻擊會是長時間的滲透,通常是...

2022-11-23 18:06:10
question
防火牆、資安系統對於駭客入侵的攻防是如何運作的?

共 0 則對談

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

防火牆是系統第一道防護門,可佈置於不同的系統區域,主要功能是辨識外來者身分,避免非合法授權使用者進入系統,一旦有人試圖進入系統,資安單位將即時收到通知,並進行重新設定,甚至關閉系統。可分為單位內、外部區域網路的防火牆,以及單位對外提供服務的主機所使用的防火牆。

2022-11-23 17:34:29
趙正宇

趙正宇

菱鏡執行長

防火牆就像虛擬的城牆,在防火牆前面決定哪些 port (通訊埠)能通、哪些不能通,保護內部的設施與服務,在入口處的衛兵則根據規則來過濾進出的民眾與貨物。一個正確設置的防火牆,能夠過濾掉不必要的流量,限縮駭客可使用的攻擊面。

防火牆在強弱有不同解釋,一種是可以處理很多台機器、很多流向,像企業內部有幾萬台電腦,一般的防火牆絕對撐不住。另一種是網路分很多層,通常在 port 上傳什麼東西,一般的防火牆不會管是傳網頁或音訊的流量等,他只知道現在有一條路有東西通過,那功能比較強的防火牆會在東西通過時,像一個臨檢站把東西打開來看,這樣就能識別出攻擊並阻止進入內部網路,兩種防火牆的價格差很多,資安系統、設備都是類似的運作概念,因為網路與應用程式的複雜度高,才衍伸出各式各樣的種類,不同資安設備對流量或事件的可視程度不同。

防禦面的部分很廣,因為...

2022-11-24 12:31:40
question
駭客如何攻擊國家的基礎建設?「黑暗首爾事件」有可能發生在台灣嗎?現在可做的防備機制有什麼?

共 0 則對談

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

駭客攻擊種類繁多,舉凡惡意軟體、勒索軟體、網路釣魚攻擊和分散式阻斷服務攻擊等,若能以此進入 IT 系統,再進一步滲入 OT 端,即可能導致系統介面、伺服器完全失能,甚或控制工業系統,惡意改變機台數值設定,極可能因此釀成大災。

黑暗首爾事件其實是非常典型的 APT 攻擊,萬物聯網時代下,全球每個角落都可能會發生資安事件,只要生活中使用聯網產品或配備,每個人其實都暴露在資安危險下。然而,大規模資安事件發生後,往往會引起企業、政府的關注,檢視防禦系統是否有足夠力量阻擋攻擊,對於社會整體資安防護力的提升,無疑帶來暮鼓晨鐘之效。特別要提醒的是,駭客技術日新月異,倘若我們無法 100% 免於被駭侵的可能,則須透過提升資安防護量能,以及增強應變及快速修復系統的能力,盡可能將傷害降到最低。

近年來,主動式資安服務逐漸受到公部門與企業單位重視,透過模擬系統設備遭受攻擊的危機處理,檢測購置的資安設備及流程是否足夠抵禦外來者的攻擊與入侵,同時縝密監視系統運作。唯有了解自身系統所有優劣勢,才能在受到駭客攻擊前,提升自身防護的體質和應變能力。

2022-11-23 17:37:46
趙正宇

趙正宇

菱鏡執行長

其實看俄羅斯跟烏克蘭就知道,資訊戰一定會發生,國家基礎建設為重大服務,無論是金融、電信、電力等,金融業的資安做得最好,令人比較擔心的是基礎公共設施,政府單位的基礎設施一但停擺,就會導致重大的財損或非預期性的損壞,因而基礎建設必為網路戰鎖定的目標之一。至於駭客要如何攻擊這樣龐大的服務?這會牽扯到 APT (Advanced Persistent Threat),要攻陷這樣龐大的服務,必然需要長時間的滲透與嘗試,其中不乏使用全新未知的漏洞、已公開的重大漏洞、簡單的釣魚信件、社交工程甚至供應鏈攻擊等,由於目標夠龐大,能使用的手段也更加豐富、更難預期。

基礎建設...

2022-11-23 17:38:55
question
面對中國駭客持續攻擊,台灣政府與企業可以如何加強資安系統?您們提供什麼樣的服務給企業用戶?

共 0 則對談

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

我們認為區隔「核心系統」和「非核心系統」是其中一個關鍵,核心系統指的是機關內部機敏資料、重要帳號密碼存放的系統,這些資料都需要最嚴格的保護;而廣告看板、委外建置的系統通常屬於非核心系統的範圍。不論是政府或企業,皆應持續、經常性驗證,或確認目前單位內真實的資安健康狀況,才能在發生資安危機時,發揮效果達到實質防禦,因此,若政府或企業能使用紅隊演練模擬真實駭客攻擊,更能測試及了解自身防禦能力,真正做到防患於未然。

我們的紅隊演練服務是...

2022-11-23 17:40:58
趙正宇

趙正宇

菱鏡執行長

資訊安全能訓練的方向,從正反兩向來分析,也就是從駭客角度(紅隊)和從企業資安人員角度(藍隊)來看。台灣由於立場特殊,針對政府或基礎設施的攻擊事件層出不窮,不論是紅隊或藍隊的訓練都很重要,政府需要全方位的資安人員,才能夠即時阻斷惡意入侵。

紅隊角度的資安訓練,可以讓企業資安員工深入了解駭客的攻擊手段,實際作為駭客去操作並規避防護,一但能深度理解紅隊技術,便能思考如何防護與偵測 ; 藍隊角度的資安訓練,可以讓企業員工學習各種資安設備的用途與使用方式,練習在攻擊事件發生時的應對與預防。

我們公司由四位在資安深耕十年的研究員所創立,成員具備紅隊的技術跟藍隊的背景,我們的產品主打「以紅隊角度來執行的藍隊訓練」,希望資安人員接受全方位的訓練。我比較常接觸到的是科技業跟金融業,雖然他們都有編預算買設備和服務,但他們缺人去操作。我們的訓練平台能精準重現過往的知名攻擊事件,讓資安人員身歷其境的感受駭客的攻擊脈絡,被打的感覺、被打的過程會發生什麼事,並且訓練人員利用手邊的資源來偵測可疑的事件。

2022-11-23 17:43:01
question
在網路世代,民眾需要導入資訊安全系統嗎?大眾對於資訊安全應有何意識?

共 0 則對談

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

現代人的生活幾乎已完全脫離不了網路,在各個網站、系統都可能有重複使用的註冊帳戶資料,我們建議,在不同的網站系統皆須設定不同的帳號密碼,且不能是可被辨識的資料,亂數則更為理想,並且將這些資料存放在合適的密碼管理工具上,盡可能降低帳號被駭的可能性。

此外,智慧化數位產品也極有可能成為竊取資料的管道,所以建議每個人時常盤點自己的帳號密碼,評估自身的暴險機率,切割個人的核心與非核心系統,如工作使用設備與家中的智慧型家電或裝置網路應各自獨立,避免單一系統遭到入侵後,連動影響到其他裝置,牽一髮而動全身。

站在資安角度而言,我們認為建立起全民的駭客思維為重中之重、當務之急,這也是 DEVCORE 戴夫寇爾長年在耕耘的目標。當我們能理解攻擊方如何入侵、想取得什麼資料,才可以提早一步布局、規劃防禦策略及建置防禦系統,更謹慎地防護機敏資料,避免資安危機。

2022-11-23 17:44:26
趙正宇

趙正宇

菱鏡執行長

資安知識的提升是最重要的,像 iThome 就有正確傳遞資安的訊息,要能分出哪些是重要的、哪些是不重要的,像被攻擊幾次、看板被打就不重要,甚至打看板的可能是大陸無聊的學生而已,這件事情反映的是台灣的外包商或資訊提供商,因為成本關係可能沒有做資安相關的學習,讓看板如此容易被攻進去。

資訊安全不是一門簡單的學科,若民眾對資安系統沒有深入瞭解就使用資安設備,只是讓駭客擁有更多的攻擊面向,加上民眾使用的服務與終端設備如手機、平板,都有不斷演進並導入安全防護技術,也有加強「資訊安全」與個人資料的保護,包含信用卡資料、刷卡資訊、通訊軟體、個人照片影像等。那為什麼還是會有人的 FB、Line 被盜用呢?最大問題在於民眾在使用這些設備時,無意識的操作行為破壞了設備提供的安全保護,像在手機上看免費影片時,若跳出廣告或應用程式,一旦在手機上開啟這類不知來源的東西,就可能成為駭客入侵的破口。

網路攻擊千變萬化,民眾能做的就是...

2022-11-23 17:45:15

此次與談人

趙正宇

趙正宇

菱鏡執行長

翁浩正

翁浩正

戴夫寇爾執行長暨共同創辦人

延伸閱讀

為何地緣局勢緊張,更凸顯製造業資安的重要性?

為何地緣局勢緊張,更凸顯製造業資安的重要性?

供應鏈一旦陷入混亂,將強烈衝擊人們的生活。從已發生的疫情到俄烏戰爭,到未來因地緣政治緊張引起的軍事封鎖,都可能讓供應鏈陷入混亂的狀況雪上加霜,成了駭客攻擊的最佳時機。製造業真的準備好應對這類資安攻擊了嗎?

2022-11-25 10:30:00

社交工程攻擊輪番襲來,企業備戰好了嗎?

社交工程攻擊輪番襲來,企業備戰好了嗎?

Netflix犯罪紀錄片《Tinder 大騙徒》再度讓社交工程(Social Engineering)詐騙的討論浮上檯面。當被攻擊的對象是企業,面對動輒上億元的災損風險,企業準備好了嗎?

2022-04-12 10:00:00

在充滿 Deepfake 的未來,社群相關產業該如何備戰?

在充滿 Deepfake 的未來,社群相關產業該如何備戰?

Deepfake (深偽)技術精細程度與時俱進,取得成本日趨低廉,帶動深偽應用更為普及。當「眼見不再為憑」,大眾對媒體、品牌的信任也將有所保留。究竟,依賴社群平台與受眾對話的產業,正在面對什麼樣的「虛假大戰」?

2022-05-01 11:53:00

時間標記

EPEPISODE #旭沙龍-張育寧時間

EP #
邀請已成功寄出