在8月底威力彩開獎前夕,由於頭獎上看27億元,引發全國熱議,因為疫情當前,許多自認在經濟上亟需紓困的民眾,自然很希望自己就是幸運得主,但這樣的現象,也不免讓人擔心是否會出現不惜代價、鋌而走險的行為,例如出賣企業或組織的機密資料,來換取金錢的狀況。

過往這類被歸類為商業間諜的行為,可能都有其針對的目標單位,例如重要的政府機構、部門,或是大型企業,但若是執行門檻更低、分紅金額誘人,再加上眼下疫情難緩解而衍生各種經濟危機,極有可能會讓一些員工動搖,而去做攻擊者的內應。

在我們的技術編輯周峻佑最近編譯的一篇資安新聞,就呈現了這樣的現象。對方是發動勒索軟體攻擊的駭客,對公司員工寄出電子郵件,以勒索贖金分紅的4成(相當於100萬美元、約新台幣2800萬元)試圖利誘,希望有權存取特定伺服器的使用者,能協助他們在公司的系統當中執行惡意軟體,以便進行植入與散播,之後也透過加密即時通訊軟體,向有意了解者說明合作方式。

這類事件的真實度應該很高,因為也很吻合現在的全球工作者態度,應該會促使企業重新思考現行的資安防護政策,能否因應這種疫情下必須正視的另一種潛在資安風險:內部威脅(Insider Threat)。

過往企業面對這類資安威脅時,總以為攻擊者的身分不外乎下列幾種:外部敵對人士、競爭廠商、被上述對象所收買的公司員工、對公司不滿的員工,至於資安意識不足的員工、粗心大意的員工,大多會予以教育訓練與訓斥規範的方式,提升人員的資安認知。但利字當頭,面對這種不請自來的勸誘電子郵件,一家企業、一個組織的眾多從業人員當中,只要有一個心動且配合行動者,企業極有可能陷入嚴重的資安危機。

而這筆利誘的金額數字之高,也讓我們相當擔憂後續是否會有人仿效。想想看,與其奪得彩券大獎的機率相比,若與駭客勾搭,神不知鬼不覺(自以為),若能趁機大撈一筆,或許可能擺脫低薪、背負沈重經濟負擔的困境,至於日後被逮住的後果是否嚴重,有些急於發財、翻身者,或許也顧不得了。

另一個比較也是相當不堪的。可能有不少企業或組織的資安預算、甚至IT預算、人事預算,是低於這筆錢,如果駭客願意「讓利」,改對使用者祭出銀彈攻勢,我們該從哪些層面來鞏固防禦呢?

從技術的角度來看,上述事件勾勒了可行性相當高的攻擊場景:對方以各種迂迴方式跨過實體與網路邊界管制時,能使惡意軟體直接執行在公司的伺服器、存在於內部網路時,我們必須自問:現行的資安配置能否擋住察覺這種「內應」?而從人員管理的角度來審視,公司薪資、工作安排必須要設法合理化,但員工真的知道這類裡應外合的後果有多嚴重嗎?除了被免職,企業平時對於相關的法律責任,平時是否也必須宣導呢?

就戰略而言,面對這類收買手法,也不禁讓人佩服過往十分看重利益的駭客,居然也能採取「拿得起、放得下」的態度,願意放下部分收入,來提高植入與滲透的機率。

或許就如同遊戲仙劍奇俠傳的招式「乾坤一擲」,除了攻防雙方的技術交鋒,透過耗費大量金錢而對敵人造成巨大傷害,的確也是一種戰略,那麼,你該怎麼接招?顯然,對內部人員實施零信任資安架構,將是企業與組織必備的自保之道。

作者簡介


熱門新聞

Advertisement