Fortinet鎖定外部攻擊面管理（EASM），、品牌保護、暗網情蒐，助力防護數位風險

隨著數位轉型浪潮推進，許多組織不僅部署多樣的數位資產，亦採用多樣的數位通路來執行各種活動，殊不知同時間駭客在一旁虎視眈眈，伺機透過這些數位資產對組織發動攻擊。

因此毫無疑問，無論政府機關或民間企業，一旦未將資安納入數位轉型的關鍵基石，恐面臨接踵而來的數位風險，後果不堪設想。為此Fortinet技術顧問冼柏齡針對數位風險防護議題，展開多個面向的探索分析，旨在協助政府部門從容應對資安風險、強化數位韌性。

瞄準三大面向，強化數位風險防護
冼柏齡指出，現今數位風險層級持續擴增，若以政府機關角度來看，由內而外至少涵括三層級。第一層以資安人員為核心，平時執行許多安全運維、設備管理、事件處理、日誌檢視等作業。第二層為邊界曝露的風險，伴隨政府數位化，導致有更多安全課題需要考慮，例如對外服務的設定是否正確、是否有其它的軟體或服務的資安風險等。第三層是外部曝露的風險，意指政府機關不能直接控制的場域，如社交媒體、Internet網站或暗網等等，往往潛藏更大風險。

要想有效因應風險，須根據駭客思維，順藤摸瓜找出可能的入侵途徑，進一步形成主動式防禦策略。因此各機關需要高度關注駭客攻擊前的情資蒐集樣態，包括公開資訊蒐集、域名和子域名探測、網路通訊埠號與服務探測、漏洞掃描、社交工程情資蒐集、電子郵件地址與憑證蒐集、網路架構與基礎設施分析、員工與關鍵人物資訊蒐集等。

「我們假設自已可能被駭，預想駭客可能利用什麼資訊展開攻擊，繼而『向左思考』，」冼柏齡說，各組織應化被動為主動，察覺駭客早期偵查行為，藉以識別新增的惡意程式來源與檔案，此後便有機會阻擋武器化惡意檔案派送、在獲取可用補丁前屏蔽弱點、遏止惡意程式安裝與執行，更聰明地瓦解資安攻擊鏈。

大致上來說，所謂的數位風險防護（DRP）包含三大面向。一是「外部攻擊面管理」，意指組織需要探索其數位資產，從中挖掘曝露在外的攻擊面，掌握外部資安風險。二是「針對品牌偽冒的防護」，當組織透過數位通路發展業務的同時，應有能力識別仿冒的域名、可疑的應用程式，甚或監控社交媒體，將品牌偽冒的行為予以檢舉或下架。三是「針對攻擊者的情資監控」，除可見的數位通路外，進一步朝向暗網、地下論壇與市集…等檯面下的資訊交易管道主動出擊，理解有無與自身相關的帳密或其它情資外洩，據此展開對應的資安強化作為。

嚴格監控數位資產，並加強暗網情資蒐集
談到外部攻擊面管理（EASM），第一步需針對組織的數位資產範圍全面探測，藉此識別曝露的已知與未知資產及相關安全問題（如漏洞、設定錯誤），從而確認問題修復的優先級別並進行補強，最終執行差異比對，識別補強前後的資安態勢變化。

冼柏齡提醒，通常政府機關有很多關鍵服務、系統或應用程式，管理者對此知之甚詳，會做比較完整的防禦與規劃。因此在評估資產風險時，亦需涵蓋其他部份，如次要資產，像是一些輔助性的數位網站、數位內容、數位App等；抑或隱藏資產，譬如組織已不再使用或遺忘管理的資源。如此才能在駭客找到你的問題前，先進行處理。

至於品牌偽冒防護，主要考量點包括域名仿冒、網頁換置、可疑的應用程式、攻擊者使用社群媒體進行偽冒。組織應及早檢測並採取行動，以保護品牌價值並降低釣魚攻擊風險。

但在品牌保護過程，往往會面臨挑戰；例如礙於海量數據難以管理、跨境執法障礙、新興技術濫用，以致監控與執法困難。此時組織即需藉助系統化機制，協助爬取與蒐集相關資料，再輔以AI等新興科技工具，以便在法律框架外超前部署，加強保護組織的版權與商標。一旦檢測到偽冒網站，或有人打著組織名號進行可疑活動，應立即下架處理。

有關情資監控，主要範圍落在暗網、地下論壇與市集、開源情資交換…等區塊，當組織發覺自身資料外洩，即可快速定位可能的洩漏管道，執行資安事件的查找與反饋動作。另值得一提，因為供應商往往擁有更高權限與連線，所以各組織亦需針對供應商進行資安風險評估。

總括來說，冼柏齡歸納三個重要的經驗分享。首先，跨多樣數位通路的公眾資產需要進行監控。舉凡未知或被遺忘的資產、肇因於委外或自營服務的風險曝露，乃至漏洞修補進度，皆是關注的重點。

其次針對品牌保護的數位風險，應主動監控疑似偽冒網站、常用社群媒體如FB、IG的可能偽冒內容、對外服務的行動應用程式風險。最後論及暗網情資蒐集監控，重點大致有三，一是儘量避免使用組織郵件帳號註冊外部網站，二是監控駭客針對性的情資蒐集，三是評估廠商／供應鏈資安狀況。

Fortinet長期與眾多國際組織（如NATO、國際刑警組織、世界經濟論壇…等）進行情資交換合作，致力打擊網路犯罪；以2023年而言便協助阻止5萬多件網路犯罪行為。因此Fortinet期望藉由提供資安能量，與臺灣的政府機關合作，共同提升數位風險防護力。