國際上,俄羅斯與烏克蘭的戰爭方興未艾,過往傳統戰爭通常是「三軍未發、糧草先行」,而現代戰爭卻是「糧草未至、網戰已啟」。KPMG安侯企業管理(股)公司董事總經理謝昀澤分析,國際網路駭客集團化運作已經多年,約略可分為以網路正義為號召,企圖癱瘓特定網站的「社團級」;以攻擊取得財務利益為目的,偷取機密或勒索公司的「商業級」;及有政府為後援甚至指揮的「網軍級」駭客集團。謝昀澤表示,其實臺灣每天都在面臨網軍級駭客的攻擊,無硝煙的戰爭早已開打多時。網軍級駭客有能力發動網路數位戰爭,而目標通常就是油水電關鍵基礎設施、高科技廠商與國家政府機關等「灘頭堡」。其中又以俄羅斯、以色列等國家網軍,曾多次癱瘓敵國核電廠、水庫等,最為知名。
KPMG資安實驗室副總經理林大馗說明,俄羅斯駭客參與大規模有計畫性的入侵台灣企業行動,應該從2016年金融ATM被駭事件開始。林大馗依據過去幾年,協助台灣關鍵基礎設施與俄羅斯駭客交手的經驗,這群來自「戰鬥民族」的駭客,除了與其它國際駭客集團同樣偏好針對含金量高的系統,進行進階持續性攻擊(APT)、分散式服務阻斷攻擊(DDoS)外,還有一些「俄行俄狀」的特徵:
1. 攻擊在地化:因為網路無國界的特性,國際駭客經由網路共通的通訊協定、程式及系統漏洞等方式,可以在不同的國家地區橫行無阻。但這群俄羅斯駭客,能入侵防護嚴密的高端系統,或偷取更敏感的機密資料,還具備「攻擊在地化」的研究能力。例如聘專人研究台灣使用者電腦獨有的「注音輸入法」,就知道ji32k7au4a83這段在一般人看起來無意義的英文,是「我的密碼」的注音鍵盤符號,也是許多台灣系統管理者所喜歡的密碼。
2. 部署超前化:利用不為人知的零時差漏洞,結合精準式的魚叉式釣魚手法,突破實體網路隔離的限制,安裝惡意程式並長期潛伏,等待適當的時機發動突襲。此外,一般駭客於攻擊成功後立即揚長而去,而俄羅斯駭客不但會自行清理戰場,抹除入侵的軌跡,更會留下一個或多個後門,方便後續再次繼續使用。
3. 媒宣壟斷化:俄羅斯駭客常藉由癱瘓官網、重要基礎服務、或利用社群媒體散布假訊息,利用不對稱資訊影響民眾對政府或企業的信心,或造成所謂的「帶風向」效果,意圖製造混亂並增加處理的困難度。
林大馗建議,台灣企業可以透過下列五重點,自行或委外快速檢視與評估組織的資安曝險程度:
1. 要即時更新系統:幾乎每天都會有新的作業系統、網路設備的弱點被發掘通報,維持系統的最適更新,將有助於減少被駭客攻擊成功的機率。
2. 要加密機敏資料:近期常見國際企業內部網路被駭客攻破後,機敏資料遭受竊取並被公開。建議可透過防止資料外洩的解決方案,加密機敏資料,讓駭客拿的到、也打不開。
3. 要監控組織內部網路流量與使用者行為:過去我們信任組織內部網路,而不去監控是否有異常流量。近期國內外重大資安事件經驗顯示,透過監控並識別是否有異常內部流量,可有效強化組織整體網路安全。
4. 不要仰賴單一品牌設備:組織採用單一品牌之網路防護設備,雖便於管理,但若未能及時進行弱點修補,也提供了駭客長驅直入的機會。合理的多層次縱身防禦,才是符合安全的部署方式。
5. 不要信任網路隔離:在國內外發生的資安事件顯示,如煉油管路、POS系統與金融關鍵系統等,過去都信任網路隔離,而未對該類型網路強加管控,建議可透過如零信任架構、網路視覺化與異常監控的措施,針對敏感系統與設備進行監控。
謝昀澤提醒,資料外洩、網路財務盜失、系統停用,是傳統的資安事件常見的損失;而現代的網路攻擊大戰,造成大規模停水停電、金融服務與供應鏈嚴重斷鏈、甚至數位與實體戰爭結合,已經是新現實(the New Reality)。如何偵測、預防、防禦及回應這些接踵而來的資訊風險,更是數位國家與企業,共同要面對的課題。
林大馗
安侯數位智能風險顧問(股)公司副總經理
E:tonilin@kpmg.com.tw
T:(02) 8101 6666 # 15320
