淡江大學資訊處資訊長黃明達表示,「人」才是企業資訊安全最大的風險。

針對韓國320駭客攻擊事件的調查報告,韓國政府直指北韓在背後操控320駭客攻擊事件,因為透過蛛絲馬跡追縱到的駭客IP位址,其註冊地點就在北韓的平壤柳京洞。而且駭客攻擊手法顯然是經過精心規畫,攻擊行動潛伏起碼超過8個月,期間有超過1千5百次潛入受害的銀行,而且駭客所使用的數十種攻擊程式,亦像是一隻正規軍,在攻擊行動中各司其職。

截至目前為止,此次駭客攻擊事件未傳出有重要機密資料外洩的情事,還看不出攻擊者的最終目的是為了什麼利益,但很明顯的是攻擊者要向全世界證明,韓國的安全防護體系能夠被擊垮。這些跡象顯示事件主腦絕不是普通的駭客組織,能策動如此大規模攻擊,並採取精湛的攻擊手法,也難怪韓國政府的調查報告會指向北韓政府。

企業不能再認為由國家策動的駭客攻擊不會波及企業,過去Google就指稱遭受中國駭客有特定目地的APT攻擊,而今韓國的駭客攻擊事件亦再度證明,企業不能再認為這些由國家策動的網路攻擊與自己無關。

人是資安防護最脆弱的一環

駭客要能潛入企業,必須先將惡意程式植入企業內部,在企業網路開了個後門,日後才能方便進出。因此,鎖定目標的APT攻擊首部曲,就是要找到能植入惡意程式的漏洞,而「人」通常是駭客最愛利用的惡意程式引渡者。

這次韓國駭客攻擊也不例外,駭客使用社交工程方式,寄送騙人的信用卡帳單通知信,誘使企業員工打開藏惡意程式的郵件附檔。

曾是行政院國家資通安全會報諮詢委員,推動資訊安全教育超過20年的淡江大學資訊處資訊長黃明達表示,「人」才是企業資訊安全最大的風險,現在網際網路如此發達,社群網站、通訊軟體更是時下年輕人的最愛,可作為駭客發動社交工程的工具越來越多。「使用者必須提升自己的資安素養,養成良好的電腦使用習慣,才不會讓駭客有機可乘。」黃明達說。

不要相信任何預設的信賴關係

韓國320攻擊之所以能一次癱瘓4萬多臺電腦與ATM提款機,重要的關鍵在於駭客掌握了資安軟體的更新主機,利用企業對防毒主機的信賴,利用更新軟體的機制來大量派送惡意程式。

遊戲橘子資訊長許武先表示,這次攻擊曝露了軟體更新機制的風險,因為自動化軟體更新機制行之有年,大家也就採取完全信賴的態度,但此一事件使他意識到不可相信任何預設的信賴機制。對於預設的信賴機制,若缺乏足夠的驗證機制,如軟體的數位簽章驗證,就可能會導致企業內部的風險。

除了資安軟體的更新主機,企業裏其實還有許多我們預設為信賴的機制,如AD網域機制、PKI、雙因素認證機制等等,而一些擁有集中管理功能的機制,亦須要重新檢視其信賴關係,例如遠端存取管理、資產管理平臺等等。許武先表示,甚至企業平常較少檢查的視訊監控設備,也不能再忽略了。

資安產品也會成為攻擊的目標

資安產品成為駭客攻擊的目標,也不是什麼新鮮的事,過去就有過一些針對防毒軟體的攻擊程式。但是,之前針對防毒軟體的惡意程式,並未針對特定的軟體,而在韓國攻擊事件中,攻擊者顯然已經徹底調查鎖定目標所使用的資安產品,只針對這幾種資安軟體設計特定的攻擊方式,客製特殊的攻擊程式。

企業除了要意識到資安產品有可能駭客下手的目標,此一事件更顯示,在駭客不擇手段的前提之下,其他設備也有可能成為攻擊目標。

不只是PC,伺服器也成為攻擊鎖定的目標

韓國320攻擊事件的重大災情,除了PC的硬碟開機磁區被刪除、硬碟資料被覆寫之外,另一個重要的訊息是,駭客也攻擊了多種伺服器,包括Linux、Unix伺服器等,甚至也有資料庫主機的資料被刪除。

這突顯了駭客想要取得更有價值的情報或資料,因為將攻擊目標瞄向肩負企業重要系統的伺服器。因此,企業必須將安全防護由端點防護,延伸至伺服器主機的防護,甚至是新興的行動裝置平臺,在APT攻擊無孔不入的情況下,企業所有的平臺都必須納入安全防護的策略之下。

駭客攻擊衝擊企業核心業務,考驗營運永續能力
此次駭客攻擊的直接目的,顯然是癱瘓銀行、電視臺等企業的營運。然而,也因為韓國在近幾年也陸續遭遇駭客攻擊事件,有準備的企業就能快速反應,如新韓銀行在事發1個小時後,就能陸續恢復局部的運作,而有些銀行就必須在4個小時甚至更久之後。

臺灣大學電算中心主任孫雅麗表示,企業除了部署安全隔離措施,也要重視資料保護,臺大建置雲端機房之後,每天會照規定執行系統快照,確保在意外事件發生時,能盡快復原。

熱門新聞

Advertisement