自2010年升格直轄市後,新北市設籍人口數已突破400萬人,為國內人口最多的縣市,相當於臺灣六分之一的人口設籍,由於量體龐大,新北市也成為駭客攻擊的重點目標之一。從2022年到2023年5月,新北市政府在17個月內受到超過14億次網路威脅及駭客攻擊,每天平均超過270萬次。
為應付層出不窮的網路威脅及攻擊,新北市政府由資訊中心負責統籌全市府的資安作業,並建立主動監控防護機制,強化新北市政府資安防禦,背後的推手是2019年加入新北市政府資訊中心,今年9月升任新北市政府資訊中心主任的陳富添。
在進入新北市政府工作之前,陳富添在警界服務近20年,曾在地方政府警務單位工作,後來進入刑事警察局,加入專門偵辦網路犯罪、跨境犯罪等偵防工作的偵九隊,企業遭到駭客入侵也會尋求偵九隊的協助。之後轉至內勤的通訊監察科工作,主要為行動通訊監察,由於即時通訊軟體的普及,犯罪者利用Line、WhatsApp等加密通訊軟體來規避監聽,必需採用各種方法突破,隨後進入科技犯罪防治中心,專門負責數位鑑識(Digital Forensics)工作,從犯罪使用的設備,例如犯罪者銷毀的筆電或電腦中設法提取跡證資料。
從攻城方變守城方
由於過去在網路犯罪偵防、通訊監察及數位跡證鑑識豐富的經驗,在研考會主委推薦下,2019年加入新北市政府資訊中心,希望借重他的經驗強化市府的資安防護。陳富添直言,過去在犯罪偵防上,扮演攻方的角色,必需採取駭客相關技術或工具突破犯罪設備的各種防護措施,取得相關的資料,在進入新北市政府後,扮演防守方角色,「以前是我扮演駭客,現在要避免駭客攻擊我」,陳富添說。
過去服務於刑事警察局,經常接到企業遭駭的報告,每每對於企業在資安防護存在的弱點感到不可思議,現在進入市府資訊單位,由攻城方一變而為守城方,這種攻防角色互換,讓陳富添有相當深的感觸。
他以資安的木桶理論為例,木桶能夠盛裝多少水,並非取決於木桶的整體容量大小,而是取決於組成木桶的最短木板,同樣地,市府的資安防護水準,並非資訊中心做好資安,還要考量其他局處300多個單位,各單位資安防護水準不一,造成防禦上的困難。
由於過去在刑事局接觸到網路威脅、駭客攻擊相關案件,讓陳富添相較於一般資訊人員,對資訊安全防護有更高的敏感度,因此他加入新北市政府後,很快發現各局處單位的資安防護狀況良莠不齊,有的單位在架設系統之後,沒有妥善監控管理系統。
舉例來說,由於新北市政府資訊向上集中,許多公用系統開放給各個單位使用,部分單位並沒有發覺他們已遭到入侵,直到駭客在市府內橫向移動或出現異常行為,資訊中心團隊告知並派人協助鑑識後才發現,部分機關單位甚至遭入侵2、3年之久而未察覺。甚至難以區分外部入侵,或是從內部其他單位滲透擴散。「防的再好也防不住內賊」,他感嘆地說。
過去老舊的資安防禦觀念是,只要購買國外大廠的資安設備就會做好防禦,「事實上,這樣的觀念是錯的,對駭客而言,機器設備是死的,要做到滴水不漏,最好的方法是建立縱深防禦和橫向的區域聯防機制」,陳富添說。
建立縱向防禦,建立異常預警
他開始改革新北市政府的資安防禦架構。首先是建立縱深防禦方面,以往市府採購部署防火牆、DDoS等設備,但這些大廠的設備彼此不會相互溝通,鑑於駭客入侵之前,先掃描使用哪些設備,這些設備存在哪些漏洞或弱點,針對弱點進行攻擊,因此資訊中心在上面一層建立串接機制,透過資安監控中心(SOC)集中收整各設備的Log,並委託廠商24小時監控,當發現異常的情形發出告警。
下層的使用者行為部分,使用者可能瀏覽不當網站,導致被感染木馬病毒,上層的防護設備無法發現,因此新北市政府資訊中心利用封包分析工具,蒐集每個樓層的封包,由AI對每臺電腦的使用行為分析,一旦發現異常行為時自動發出告警,由專門團隊進一步檢視觸發告警的原因,必要時作數位鑑識。而在端點防護方面,每臺電腦採用Windows 10的防毒軟體搭配XDR,當發現使用可能帶有病毒的USB儲存裝置,也會發送告警。
陳富添表示,過去有不少企業認為在電腦安裝防毒軟體就能完整防護,依據他的過去經驗,現今攻擊手法愈來愈先進、隱密,僅依靠防毒軟體根本難以防範,需要搭配其他方式,例如側錄封包,對使用者行為進行分析,避免因使用者瀏覽不當網站,或是下載不當檔案,導致內部被入侵,因為這類不當的使用行為,上層的資安設備往往無法發現,產生不小的風險。
目前他們運用一套AI行為分析工具,仰賴機器學習技術來分析使用者的行為,但是經過幾年使用的經驗,發現誤判率不低,目前資訊中心根據廠商意見,計畫更換另一套AI分析工具,同樣側錄封包進行分析,但採用循環的方式來提高判斷準確率。
隨著國內大選將近,各種網路威脅、攻擊增加,這套資安防禦架構發揮它的角色,市府偵測的異常次數(非攻擊次數)達到高峰,超過3億次,這個數字要比平時的異常次數高出3倍之多。
新北市政府資訊中心主任陳富添表示,各個機關單位一定有對外連線,唯有採取類似零信任的精神,在不信任各單位防禦的前題下進行部署,才能確保市府的資訊安全。攝影/洪政偉
阻擋駭客滲透橫向擴散
駭客入侵不只從外面,也可能從內部其他局處單位橫向擴散而來,因此不只是縱深防禦,內部也需建立橫向聯防機制,因市府內部資訊向上集中,他們在機關單位連接到資訊中心主幹網路的接入口部署入侵偵測設備,一旦偵測到可疑的橫向擴散行為,啟動內部聯防機制,向該單位示警,並阻擋橫向擴散。
陳富添指出,以往偵測設備部署在後端,如果偵測到異常,相當於駭客攻擊已兵臨城下,為了及早發現,將設備部署至各機關單位網路接入口前端,如同在前線部署哨兵,就能夠及早預警。目前新北市政府已在11個擁有自有機房的B級機關部署主動偵測設備,55個C級機關則部署Honeypot誘補系統,誘補系統雖然被動,但只要偵測到異常就會觸發預警。
因市府底下有許多的局處,每個局處底下有眾多的單位,市府對外連線的窗口太多,各單位可能基於業務需要方便,自行租用對外的線路,加上使用者可能習慣不佳,例如瀏覽不當網站、下載檔案,導致單位內的電腦都被污染。
因駭客有相當多的管道及方法入侵。「各個機關單位一定有對外連線,唯有採取類似零信任的精神,在不信任各單位防禦的前題下進行部署,才能確保市府的資訊安全」,陳富添說。
過去,機關單位可沒有發覺自已被入侵數年之久,直到資訊中心通知才知曉,但在新的資安防禦架構之後,他希望未來能將發現駭客入侵的時間從數年縮短到3天之內。
建立自己的資安鑑識實驗室
除了改革新北市政府的資安防禦架構,為提升新北市政府自己的資安能量,資訊中心設立資安鑑識實驗室。
不少企業或機關會委託外部業者提供資安服務,但是廠商資安鑑識服務品質勘憂,曾有一家大型企業遭駭向警方報案,警方要求受駭企業提供資安鑑識報告,企業很慎重委託3家業者,但是3份報告的鑑識結果都不相同。
陳富添認為這是一般資安鑑識常見的盲點,3份報告結果各不相同,並非業者的報告錯誤,而是如同瞎子摸象,每個報告看到大象的一部分特徵,並非完整的全貌。他指出,業者可能在急於交差下,簡單作弱點掃描,因此許多企業或機關雖然依照資安法要求,委託業者進行資安檢測,最後仍被駭客入侵,這是因為業者的檢測沒有落實、不夠確實,可能流於形式。
曾有議員質疑市府成立資安鑑識實驗室必要性,陳富添仍堅持資訊中心應該要有自己的資安鑑識實驗室,因為相較於外部業者,鑑識團隊更了解市府內部運作情形,當委託外部業者進行資安檢測工作時,實驗室也有能力確認外部業者執行鑑識工作的有效性,根據不同業者的報告拼湊全貌,抓出真正的問題所在,進一步去改善。
「否則你只能聽別人(委外業者)說的,無法自己判斷檢測的有效性」,這是資安鑑識實驗室的價值所在,通過設立資安鑑識實驗室來提高市府自身的資安能量,目前這個資安鑑識團隊核心人員約有3至4人。
明年第三代公文系統上線,提高公文作業效率
新北市政府也計畫配合政府政策導入零信任機制,特別是新北市公務人員每天會登入使用的新北市公務雲,目前已先導入手機身分認證,例如指紋等生物特徵辨識,取代使用者容易忘記的密碼,未來會配合數位發展部的政策,導入完整的零信任機制。
新北市政府也計畫在明年推新的公文系統,提高市府公文作業的效率。目前市府使用的第二代公文系統已超過10年,由於是早期開發的系統,支援IE瀏覽器,該瀏覽器已在去年6月終止,為了迎合現代使用需求,必需支援Edge或Chrome瀏覽器,因此他們規畫在明年推出第三代公文系統,不僅支援現代化的多種瀏覽器,還針對手機、平板電腦提供行動版頁面。
另外,第二代公文系統僅支援實體自然人憑證,因此當公務人員在外差勤,只能先用虛擬憑證審核公文,讓公文作業按程序進行,待回到辦公室再使用實體自然人憑證插卡補簽已審核的公文。內政部推出行動自然人憑證,讓手機就能綁定實體自然憑證功能,進行公文的行動簽核,公務人員在外,就能直接使用手機或平板電腦簽核公文,不再需要回辦公室補簽公文,新北市的第三代公文系統將會支援公文行動簽核。
陳富添表示,目前的第二代公文系統已面臨汰換改版的需要,公文系統勢必要升版才能更貼近現代需求,例如支援多瀏覽器,優化行動裝置體驗,支援手機身分驗證、行動公文簽核,並且配合數位部政策導入零信任。
CIO小檔案
新北市政府資訊中心主任陳富添
學歷:中央警察大學資管系碩士
經歷:畢業後先在地方政府從事警務工作,後來進入內政部警政署刑事警察局,在偵九隊負責網路犯罪偵防、電信詐欺偵辦、網路駭客等案件,隨後轉調至通訊監察科、科技研發科。2019年加入新北市政府資訊中心,從科長、副主任、代理主任,2023年9月升任主任
機關檔案
新北市政府
地址:新北市板橋區中山路1段161號
成立時間:2010年
主要業務:新北市市政管理及對市民服務
市長:侯友宜
資訊部門檔案
資訊部門主管職稱:新北市政府資訊中心主任
資訊部門主管姓名:陳富添
資訊部門人數:68人
資訊部門分工:系統發展科、資通管理科、數位推廣科、網際服務科
IT大事記
2006年:臺北縣政府資訊中心成立
2012年:推出New Taipei公共無線上網服務。第二代公文系統上線。
2013年:推出智慧里長系統。
2018年:雲端證件包「免書證、免謄本」線上便民服務。
2022年:試辦新北行動支付App,NewTaiPAY,搭配新北幣點數支付,不限於新北市,可在全國的合作通路使用。推出智慧里長2.0,結合Line提供里民公務資訊及服務。
熱門新聞
2024-11-29
2024-12-02
2024-11-30
2024-11-29
2024-12-02