【資安周報第61期】自家下單平臺遭DDoS攻擊，防護費用竟要全民買單？

很多券商和金融業者在2月13日應該悄悄鬆了一口氣，因為這一天，原本是冒名Armada Collective（西班牙無敵艦隊）駭客集團宣稱，要針對還沒有支付7個～10個比特幣贖金的券商，繼續發動年後的第三波DDoS（分散式阻斷式）攻擊。

因為2月7日該集團的確有針對券商再度發動第二波的DDoS攻擊，因此，不論是主管機關像是金管會、證期局、證券交易所和行政院資安處等，以及各大ISP業者，全部都不敢掉以輕心、嚴陣以待。直到2月13日股市收盤的下午一點半為止，金融業主管機關並沒有接到任何遭到DDoS攻擊的通報，大家才略為鬆一口氣。這整件事情，最終可以視為Armada Collective的模仿犯，驗證「發動Tb級大流量DDoS攻擊的事件，從來沒有發生過。」

根據金管會透露，全臺79間券商中，總共有19間券商收到勒索信件，而iThome從金管會、證交所以及其他各個公開管道所蒐集到的資訊，總共有13間券商遭到實際的DDoS攻擊，不同券商面對這次攻擊的態度，其實也是臺灣券商對於資訊安全態度最真實的一次展現，但各界若不能從這起事件得到一些經驗和教訓，就完全浪費這次獲得全國各界關注的資安事件可以帶來的正面效益。

大型券商客戶人數多，不敢忽略網路下單平臺安全性

從這次受到影響的券商和更大範圍的金融業者來看，駭客主要是攻擊券商的網路下單平臺。雖然根據金管會的統計， 網路下單包含手機 App的下單，已經超過整體下單金額的一半以上，按理來講，既然網路下單是一個重要的下單平臺，各家券商應該會相當重視平臺的穩定與安全性。

事實上，對於大型券商來講，的確會願意將心力和資源放在網路下單平臺的穩定度和安全性上，因為客戶規模大，有許多投資理財具有高度自主性的投資者，也習慣透過網路下單平臺下單，大型券商通常不會忽略相關的安全議題。

但對於中小型的券商而言，因為通常有配合的投資大戶，這些大戶基本上都是小型券商的頂級VIP，券商都會直接請這些大戶到貴賓室下單，大戶只需要下指令就會有專人服務，往往也會享有特殊的下單折扣。

因為這些大戶的下單才是小型券商賴以生存的主要客戶，對於這些中小型券商而言，多數使用網路下單都是「小額」的散戶，面對多數券商都有網路下單服務而不得不跟進推出網路下單平臺，但對小型券商而言，都只是聊備一格的下單管道而已，專人、大戶的下單方式，才是小型券商最主要的營運模式。

金控的券商和大型券商都願意投資DDoS防護

因為臺灣券商有不同的產業結構，一般而言，從銀行或金控為主的券商體系，整體的資安都會和銀行以及金控綁在一起，基本的DDoS防護清洗都已經是這些券商營運的預設值，因為是以整個金控作為資安評估和規畫的基礎，所以，對於相關的資安投資相對具有比較大的投資報酬率。

以某金控為例，因為先前資訊部門才剛剛搬家，據了解，該金控也趁著搬家之際，將所有的網路核心路由器和各種網路安全設備等，也都趁機一併升級，而這類DDoS的流量清洗服務，也早就是金控資安服務的必需品之一。

這次該金控旗下的證券業者，雖然沒有收到勒索信也沒有遭到DDoS的網路攻擊，但在第一波攻擊事件發生後，在當天也立即請相關的網路設備業者到現場重新檢視相關的網路安全性，以防成為下一波被鎖定攻擊的對象時，但無法有即時應變之道。

相較於以銀行金控為主的券商，有比較完善的資安規畫，另外一種以券商為主的業者，也多是從股市農曆春節封關後，先後收到駭客勒索信件以及遭到DDoS攻擊的受駭業者之一。

這些受駭業者中，有營業規模排名前十名的大券商，也有規模較小的券商。憑良心而言，多數的大型券商，在面對這類的DDoS攻擊時，態度相對正面積極，即便這幾年股市交易量逐年萎縮，券商的獲利也不如以往，但多數的大型受駭券商除了有報警、通報外，也都會在第一時間尋求ISP電信業者的協助，設法導入DDoS流量清洗服務，以避免在第二波攻擊來臨後，無任何招架之力。

畢竟，這些大型券商除了營收規模大，最主要是這些券商的客戶數也相對多，其中，更不乏是習慣使用網路下單的散戶投資者，加上，金融是一種講究「信任感」的產業，如果一間遭到駭客攻擊威脅的券商，無法有任何應變之道，甚至最後只能雙手一攤，對駭客的威脅豎起白旗投降的話，所有的散戶投資人都將棄這樣「不負責任」的券商而去。

小券商認為，政府應該義務協助解決DDoS威脅

多數受駭券商在面對這次的勒索信以及DDoS攻擊時，大多展現合格的因應之道。但是，其中也有聽聞，在十九間收到駭客勒索信的某一間小型券商業者，並不願意支付導入DDoS流量清洗的費用，甚至認為，這應該是政府要幫忙付錢才是。

該小型券商業者表示，既然大規模券商遭到DDoS攻擊已經是國安層級的議題，政府就應該要強制ISP電信業者，去協助這些受駭券商解決這類遭到DDoS攻擊事件，「為什麼券商還要自己付錢清洗DDoS攻擊流量呢？」該小型券商說道。

雖然只傳出有某間小型券商有這樣的說法，該券商在堅持不支付流量清洗的費用下，也因為並沒有所謂的第三波DDoS攻擊而僥倖逃過一劫，但憑心而論，這種小型券商的心態十分可議。

這間小型券商面對自己的網路下單平臺安全不願意自己顧，有出事疑慮時，就回頭要求政府務必出手相救，甚至覺得政府應該要出錢，也應該強迫ISP電信業者，要「免費」幫忙這些受駭券商業者度過難關。這種，「有錢自己賺，但出事政府就得幫忙」的貪小便宜心態，不僅是券商中的老鼠屎，更是人人得以誅之。」

假設真的有第三波的DDoS攻擊時，該小型券商因為沒有支付DDoS流量清洗費用，導致整個網路下單平臺癱瘓、無力回天之際，是不是又要券商公會再度跳出來幫忙背書，對外宣稱「券商網路下單平臺出事，並不是券商資安做不好，一切都是因為駭客發動的DDoS攻擊太強大」的錯呢？

其實券商還是要面對一個無法忽視的議題就是，為什麼只有800Mbps和2Gbps的DDoS攻擊流量，就可以癱瘓臺灣的網路下單平臺？對券商而言，的確所有的對外頻寬，都是為了維持日常的下單業務才購買的，面對這種DDoS攻擊，業者不管買再大的頻寬都不夠的情況下，如何搭配好的流量管理措施，和流量清洗與SDN等服務，提供更穩定的網路服務，將是每一間券商的年度考驗之一。

在肯定多數券商、主管機關和ISP業者願意面對DDoS攻擊帶來的威脅，即便是熬夜加班，也都有做好應該有的因應對策，在這樣的勒索威脅過後，也讓臺灣的券商有機會真正意識到，當券商提供越來越多網路服務時，包括如何因應DDoS在內的網路攻擊，已經是每一間券商在落實更好的客戶服務時，無法忽視的重點。