由麥田出版社出版《零時差攻擊》一書作者妮可‧柏勒斯(Nicole Perlroth),在紐約時報擔任多年資安記者,她認為,中國網軍雖是臺灣的威脅,卻也提升臺灣風險意識,關鍵基礎設施是主要攻擊標的,落實實體隔離就很重要。

圖片來源: 

© Christian Högstedt、麥田出版社

國際情勢詭譎多變,有不少人都在猜測,經歷美中貿易大戰後,加上近期五眼聯盟和部分歐盟國家參與的南海軍演,以及中國軍機連續十多日來,接連入侵我防空識別區等,在在都造成國際局勢的紊亂。或許會有人開始擔心,這世界會不會因此爆發第三次世界大戰呢?

不過,關於第三次世界大戰有一個流傳更久的都市傳說,那就是,第三次世界大戰最有可能的就是網路戰引起的衝突,尤其是,2010年駭客在伊朗核電廠植入Stuxnet蠕蟲,帶給世界極大的恐慌,差一點點核電廠就出事,距離引爆世界大戰只有一線之隔,世人要面對的則是一場無煙硝的戰爭。

事實上,這種網路攻擊可以對世界造成的威脅已經是存在的事情,美國《紐約時報》的記者妮可‧柏勒斯(Nicole Perlroth)之前便花七年的時間,深入研究報導各種網軍攻擊手法,訪問超過三百位關鍵人物,試圖找出誰是幕後黑手,就是希望可以把這一個隱匿在網路世界的數位軍火地下產業鏈的真相,公諸於世,她也將訪談的過程與內容,撰寫成《零時差攻擊》一書,臺灣則由麥田出版社於十月出版。

妮可‧柏勒斯表示,面對這種網路攻擊,沒有任何人是倖存者,也沒有人可以置外於這樣的威脅。她在書中寫道,全世界的駭客都積極挖掘零時差漏洞(Zero Day Vulnerable ),只要可以找到軟體中的安全漏洞,就有機會破壞電廠的供電系統,讓整個城市陷入黑暗,烏克蘭電廠遭到駭客攻擊就是最好的實例;透過一夕列的追蹤訪談,她甚至直言,這些駭客的背後,都是國家在支持相關的駭客行為。

因為妮可‧柏勒斯長期追蹤國家級駭客的行蹤,也積極訪查,所謂「零時差漏洞」在這個市場上,扮演什麼樣的角色,甚至於,有沒有駭客組織已經利用這些零時差漏洞,針對特定國家或對象發動攻擊。

各種資安事件第一手的觀察,也讓她對於各種駭客組織和行為有深入的了解,iThome先前也透過書面的方式專訪妮可‧柏勒斯(Nicole Perlroth),希望透過她長期追蹤各種駭客組織與攻擊行為的角度,對於長期被中國網軍鎖定攻擊的臺灣,也能夠提供不一樣的觀點和視野。以下則是專訪內容。

國家級駭客利用零時差漏洞發動攻擊,長密碼或多因素認證是防護基本

問:臺灣雖然與美國結盟,但臺灣長期以來,一直是中國網軍鎖定攻擊的目標,面臨中國網軍無止盡的攻擊,我們應該採取哪些措施來應對這種無情的網路攻擊呢?

答:很榮幸有機會和臺灣讀者書面對談!我報導中國網路間諜的活動已經十年,過去這段時間,網軍的威脅不僅變得更複雜,也變得偷偷摸摸,更難被外界發現。

多年前,由中國政府在幕後支持的APT(進階持續性威脅)駭客組織,接連入侵Google、資安公司RSA以及我所任職的美國知名媒體《紐約時報》等單位。

這些APT網軍最主要使用的入侵手法,就是利用魚叉式網路釣魚(Spear Phishing)郵件,而這樣的手法並未消失,但隨著智慧型行動裝置的普及,中國網軍已經利用許多蘋果以及安卓(Android)手機的零時差漏洞發動攻擊;同時利用許多企業對外溝通都會使用的微軟Exchange郵件伺服器,和確保外部連接企業內部連線安全、市占最高Pulse Secure等VPN漏洞,對企業進行駭客攻擊。

由於這些駭客攻擊手法變得越來越複雜,往往很難進一步追蹤和防禦,這也大幅度改變我對於中國網軍受駭者,該如何保護自身安全的看法。

因為,最好的防禦方式往往不脫離最基本的心法和作法,例如:使用長密碼或是密碼管理器;盡可能部署多因素身分認證(Multi-Factor Authentication)機制;並且使用如Signal等加密通訊App進行敏感資訊的溝通;當然,也必須要確保各種軟體和應用程式都更新到最新版本。

地緣政治衝突將引爆一波網路攻擊,關鍵基礎設施將是主要攻擊標的

問:面對緊張的南海衝突,網軍主要攻擊標的為何?又該如何因應?

答:像臺灣這樣的國家,最關鍵的是,對於電網、水廠、交通運輸、天然氣和石油等攸關國家和民生安全的關鍵基礎設施系統(CII),都需要進行實體隔離(Air Gap),因為這些關鍵基礎設施可能成為駭客想入侵臺灣時,一剛開始就被鎖定,作為實體或是混合攻擊的標的。

對於違規和異常行為也進行即時監控,確保資料備份和擁有備援系統,這樣,無論是面對東歐駭客組織的勒索軟體威脅,或是中國網軍透過合作的供應鏈廠商進行網路攻擊,都可以迅速緩解不可避免的危害。

但現在更重要的是,像臺灣這樣的國家,也必須對於電網、水處理設施、交通運輸網路、天然氣及石油等安全設施的關鍵系統(Safety Critical)進行隔離,因為上述這些關鍵基礎設施都可能成為駭客發動初步攻擊時,鎖定混合或實體攻擊的目標。

類似的名單不勝枚舉,但臺灣如果可以做到確保相關關鍵基礎設施的安全性,在這方面,就可以比美國握有更多優勢。我真的相信,下一次地緣政治爆發的衝突將在網路上演,至少,會帶來一波相對應的網路攻擊。

在這一波網路衝突中的倖存者,或是贏得該場戰爭的贏家,則必須從頭開始,建立一個要兼顧安全且具有韌性的國家,但這往往是「說的比做的容易」。事實上,臺灣還有一個美國沒有的優勢就是,臺灣有中國這樣一個真實的對手,這個對手會無情地探索臺灣的各種系統並帶來明顯的威脅,這卻也是成為臺灣磨練自我能力的對手。

因為威脅是真實存在的,所以民眾和企業就會採取相對應的行動。不幸的是,我就看到,有很多美國人還是喜歡裝傻,假裝美國被大海阻隔,沒有這些網路威脅的存在。

政府應權衡擁有零時差漏洞的風險,不應假國安作為濫用藉口

問:漏洞買賣是一個漫長的旅程,政府是否應該儲備相關的網路武器,例如將零時差漏洞呢?在這樣的困境中,對所有政府而言,什麼才是最好的解決方案呢?

答:我並不會天真的認為,我們不應該擁有零時差漏洞這樣的武器,畢竟,擁有零時差漏洞是有機會遏止下一次的恐怖攻擊,或者是,像是因為撰寫出Stuxnet惡意程式,得以暫時阻止伊朗擴張核武的野心。

我們也必須意識到,我們已經不能再以「國家安全」的名義做決定,因為,「資安即國安」,網路安全和國家安全其實是一體兩面,我們只能夠「權衡」兩者之間孰輕孰重,而不是只要冠上「國家安全」的名義,就可以橫行無阻。

當我們開始儲存蘋果或是安卓手機的軟體漏洞,或是儲存發電廠或工廠裡,像是施耐德等工控系統中的軟體漏洞時,就邏輯上而言,這樣的作法也讓我們的民眾和企業,處於一個較不安全的情境中。

過去五年裡,有一些決定,就會讓美國系統看起來沒有那麼安全,像是高舉「反間諜情資」(Counter Intelligence)的名義作為回擊。事實上,只需要仔細觀察就可以發現,在2017年,俄羅斯攻擊烏克蘭所使用的NotPetya勒索軟體所遺留下的殘骸,其實就是美國國家安全局(NSA)所掌握的微軟零時差漏洞。

該次俄羅斯對烏克蘭的攻擊也進一步對外擴散開來,只要各個企業聘僱的員工中,有任何一名員工是從烏克蘭進行遠端連線工作的話,例如聯邦快遞( FedEx)、默克藥廠(Merck)、全球最大貨櫃船運業者快桅(Maersk)、美國食品公司億茲國際(Mondelez)以及輝瑞藥廠(Pfizer),都因此蒙受數億美元的損失。

展望未來,如果我們政府決定要儲存零時差漏洞作為反擊的武器,就應該遵守一套更嚴謹的規範,而不只是確認漏洞是否已經被修補完畢。因為,威脅格局已經改變,美國及其盟友並不是唯一,尋找並儲存零時差漏洞作為不時之需的政府,我們對於風險計算的方式必須改變。

在企業有自保能力前,支付勒索軟體贖金仍難避免

問:勒索軟體橫行,是否應該支付贖金眾說紛紜。依照過去的採訪經驗,對於受駭企業支付駭客贖金,有何觀點呢?

答:在理想的世界中,政府會將支付駭客贖金的要求視為非法行為,但現實是,在企業具備充分保護自己的能力之前,勒索軟體的攻擊仍將持續發生。只要企業繼續將其關鍵資料和基礎設施數位化,支付勒索軟體贖金和恢復企業正常運作的要求只會持續增加。

例如,美國巴爾的摩市政府在2019年遭到勒索軟體攻擊,駭客當初要求市府支付數萬美元的贖金,不過,巴爾的摩市府拒絕支付贖金後,面對必須重建相關的資料和系統,最後恢復市政系統正常運作的金額超過1,800萬美元。對該市納稅人而言,他們寧可市府支付駭客76,000美元後,市府就可以恢復正常運作,繼續發展下去。

現實往往比我們想像的更混亂。綜合我的看法,我們首先應該關注的是安全和韌性,即時更新軟體到最新版本,落實資料備份並保護所有個資隱私資料,大規模部署多因素認證機制、密碼以及通訊協定的管理,以及做到實體隔離(Air Gap)。

一旦我們將資安防護落實標準,提高到一定程度的話,那麼,我們的確可以認為,把企業支付駭客贖金的行為視為非法手段,最終是有意義的。但事實上,我們距離那個標準還有很遠的一段距離,所以,我會說,一切先回歸到基本功,然後,在繼續談相關的政策和法律規範該怎麼制定才合理。

確保資料不外洩,應先進行資料盤點及落實權限控管

問:資料外洩是臺美企業共同面臨的議題,尤其在美中貿易大戰中,保護企業機敏資料和智慧財產權已經成為許多企業的共識。對於保護企業知識產權以避免遭到網路間諜或駭客竊取,有何想法或建議?

答:只要一談到網路安全,我喜歡說:「雖然沒有萬靈丹,卻有萬用丹。」(There are no silver bullets, but there is a silver buckshot.)換句話說,企業可以做很多事情來保護公司的智財權。首先從識別皇冠上的珠寶開始,就是先釐清什麼樣的智財權或是個資隱私資料對企業而言最重要,公司是否已經充分的切割、隔離、加密,並設定只有有相對應權限的人,才能存取相關機敏資料,以期能做到「只有需要知道的人,才能存取相關系統。」

「你審查過供應商嗎?」、「你是否開啟多因素認證?」、「你是否做過魚叉式釣魚郵件的教育訓練和定期演練?」、「你是否強制要求員工使用強密碼?」、「你是否審查過與自家軟體介接的API安全?」、「你是否曾經向員工簡介,要不惜一切代價保護公司重要資產,如同保護皇冠上的珠寶一樣呢?」

一旦上面所有問題的答案都是「是」的時候,就可以開始進行下一步:當有人偷走我們寶貴的智財權時,我們該怎麼做才好呢?這樣有趣的討論,也將會圍繞如何將具有「欺騙性」的技術,納入企業的防禦策略中。這個領域有許多有趣的公司正蓬勃發展中,並且已經受到許多企業的青睞,尤其是那些智慧財產安全將攸關公司存亡與員工生計的企業。

供應鏈安全的確是網路攻擊主流,美中俄扮演重要角色

問:許多駭客攻擊都開始從供應鏈廠商下手,供應鏈安全是否是未來最重要的資安威脅呢?還有其他面向的資安威脅需要加以重視嗎?

答:美國國家安全局(NSA)對於攻擊性網路安全(offensive cybersecurity)採取了階層式作法。

最底層是民族國家和網路犯罪份子,他們需要依靠商業市場的駭客工具以及僱傭兵,來執行他們的骯髒工作。最重要的是,政府可以找到並利用零時差漏洞,將這些零時差漏洞「大規模地」引入供應鏈攻擊中。

美國和其親密盟友都被視為是供應鏈攻擊中最先進的,但其他像是中國或是俄羅斯等,也是數位領域中的重要且先進的對手。

以美國先前爆發的SolarWinds供應鏈攻擊,以及先前NotPetya的攻擊中可以看到,俄羅斯利用烏克蘭報稅軟體的漏洞,也成為史上最具破壞性的網路攻擊事件。但是,這些攻擊對於網路間諜和未來的破壞往往只是驚鴻一瞥,更重要的是,這件事也讓我們開始針對供應商、各種軟體,以及企業所使用的軟體安全做相關審查,包含比較少進行審查的開源通訊協定,以及由預算有限的工程師進行開發的軟體。

好消息是,在SolarWinds供應鏈攻擊的事件爆發後,從政府到各界都聽到了對「零信任」和「SBOM」(Software bill of materials,軟體物料清單)等流行語的需求。像是Linux基金會這樣的非營利組織,正在積極努力,希望可以確保當今使用的各種最關鍵的開源軟體程式碼的安全性,能夠得到適當的資助、維護和審查。

但是,可以確定的是,在我們達到一定的網路安全防護力之前,我們也將面臨更多短期、痛苦,並且數量越來越多的軟體供應鏈攻擊。也就是說,軟體供應鏈攻擊將是未來最主要的攻擊威脅樣態之一。


熱門新聞

Advertisement