【遠銀遭駭追追追】微軟建議：資安防禦，每一處都是最前線

在10月3日遠東銀行通報資安事件爆發之後，微軟是第一批進駐參與緊急處理的軟體廠商之一，儘管囿於保密協定無法透露處理細節，不過，臺灣微軟資訊安全暨風險管理經理林宏嘉表示，這次遠東銀行資安事件帶來的最大啟示是，「現今資安已經沒有前線、後線之分，不能因為應用程式位居牆後，就不進行強化」，許多企業過去認為封閉、安全的環境，反而被忽略，成為駭客攻擊的弱點。

微軟原先就已經有團隊常駐於遠東銀行。而在10月3日遠東銀行通報資安事件爆發的初期，微軟隨即開始進駐給予協助。他表示，趨勢科技、微軟之外，亦有其他廠商合力協助遠東銀行，在會議結束之後，各廠商也隨即進行作業。

而林宏嘉表示，微軟團隊第一時間所做的事情，除了檢查遠東銀行所建置的微軟環境中是否有異常外，也分析是否存在新攻擊手法，「我們也有檢查是否存在零時差漏洞，不過並沒有發現有這樣的漏洞存在。」除了檢查漏洞外，「我們投注更多時間進行強化」，林宏嘉表示，微軟的多數產品，像是Windows作業系統、AD Server、SQL Server各自都有一套標準的強化流程，「無論企業是否遭受攻擊，都會使用最高標準進行檢驗。」他舉例，例如針對AD服務，微軟就會對系統架構、權限、使用者稽核管理機制、事件紀錄進行查核。

林宏嘉也表示，現今攻擊手法越來越複雜，往往是綜合多種手法、管道及行為模式，「不容易將事件收斂成單一成因」，如果要檢查各種可能性，會將分析作業時間拉得過長，「不能只投入心力找病因，卻忽略要止血。」根據他觀察，現今許多攻擊事件的發生地點，已經不再只鎖定前端應用程式。像是APT攻擊、指向性攻擊，「這類客製化的攻擊，只鎖定特定的企業、組織」，而駭客也會利用一些企業認為不太重要的資訊，作為攻擊入口。例如，取得員工姓名、電子郵件，建立企業內每個員工專屬個人檔案，以及勾勒出每個員工的使用行為，開始進行攻擊。

也因此，林宏嘉建議，企業應該要開始投注心力，檢視過去那些被視為安全的環境，例如，內網環境或是被防火牆所保護的應用程式。他舉例，像是利用內網連線的人資、請假系統，相比允許外部存取的應用程式，「兩者的資安防護強度是否一致？」他說。

林宏嘉表示，允許外部使用者連線的系統，企業可能願意投資許多成本強化，像是入侵防禦系統（IPS）、網頁應用程式防火牆（WAF）、防毒牆，確保不會遭受攻擊，「駭客想發動攻擊，至少要突破6至7道關卡」，但是部署在內網環境的應用程式，只要碰上使用習慣不佳的內部員工，就可能成為駭客瞄準的攻擊弱點，「但是企業未必願意投注相仿的資源，保障內網環境的安全。」

也因此，林宏嘉認為，企業在資安防禦上可以引入多層次防護，建立多層防線，提高駭客發動攻擊的難度。他舉例，像是中世紀歐洲城堡的設計，除了外層的護城河外，內城牆區也有多層防護，「它的設計邏輯便是假定城牆被攻陷後，如何利用多層防護，延長外部敵人入侵所需要的時間。」文⊙王立恒