【記者李容珍/採訪報導】隨著網路科技的迅速發展、資訊技術的創新、AI(人工智慧)蓬勃興起、物聯網的普及以及全球資安趨勢的不斷變化,社會各領域正面臨更多未知挑戰;尤其駭客入侵手段日益多元,從資料竊取、詐騙勒索錢財,目標涵蓋政府、企業、慈善機構乃至個人。台灣產險公司資安保險市場的保費收入,也隨之快速成長,從107年的8,908萬元大幅增加至112年的5.28億元,四年間成長近6倍,反映出市場對資安風險管理需求的快速提升。
從電腦、筆電到手機、各種雲端和App,用戶端即使安裝防毒軟體,仍可能出現安全漏洞。當如何防護?又有那些需要注意的資安意識?
網路駭客入侵影響全世界
最近榮獲國際標準制定權威 BSI(英國標準協會)資安精銳獎的開啟資安總經理,暨華電聯網產品業務處副總經理的鄭炤仁,談到近年來資安議題為何這麼夯?他表示,主要是因為網路愈來愈發達,尤其近年來數位轉型或是物聯網的興盛,讓網路資訊越來越透明。當大家透過網路連結在一起,駭客就有機可乘,病毒就有機可入,影響層面遍及全球。也因此,相關議題在近幾年愈來愈受到重視。
他指出,供應鏈問題尤為突出。當前許多企業的供應鏈依賴網路連接,例如某大型企業的三千家供應商都透過網路相連,只要其中一家供應商的資安措施不到位,駭客就可能利用這個漏洞進行入侵。所以,供應鏈已成為資安風險的重要環節。
鄭總經理表示,以前IT(資訊科技)和OT營運技術(Operational Technology)各自獨立,現今連結在一起,主要是數位轉型、即時化的資訊分析和調整。譬如,一家大型企業可能每天下班後才檢討良率問題,可以及時監控良率好不好,然而因為網路的連結,公司只要有一個機台中毒,就會影響到整個廠,甚至於整個台灣。2018年台積電生產機台感染電腦病毒,導致三大廠區機台停擺多達三天,影響當季營收約2%,損失高達52億台幣,是台灣史上最大資安事故。
駭客組織對商家要脅勒索
他表示,駭客背後往往是組織掌控,而且已經變成商業化操作,受託攻擊指定對象,截取客戶資料,然後要求受害公司付贖金,相當於在做無本生意。例如駭客用勒索軟體,將企業的資料鎖住,致使員工無法使用,只好考慮支付贖金。然而,有時候駭客平白拿了許多贖金,資料卻不一定能夠完全修復。這也是為何許多企業要投保資安險的原因。
鄭炤仁說,如果醫院的個資被人竊取,尤其駭客知道政府官員的健康個資,情況將更嚴重。
根據怡安集團近期調查報告指出,2023年上半年,勒索軟體攻擊案件激增176%,相關營運成本隨之驟增,單一企業資料外洩的代價已上升至近450萬美元,創歷史新高。怡安專家警告,如果企業不了解網路事件可能對資產負債表產生的影響,恐怕很難投入適當的資源來減輕風險。
軟體漏洞、創造病毒都有可能
根據2024 iThome CTO大調查,未來五年五大資安風險是:社交工程手段、勒索軟體資安事件、駭客、釣魚網站、資安漏洞(零時差攻擊)事件。為避免受到攻擊,企業得學會攻擊者的思維,像是可以參考MITRE ATT&CK資安框架,以了解可能遭遇的網路攻擊手法,作為設計攻防演練和強化自身防護能力的參考。
駭客是如何攻擊取得資料的?鄭炤仁表示,有以下幾種可能性:
一、透過軟體漏洞進入:無論是大型電腦伺服器還是個人筆記型電腦,軟體中都可能存在漏洞。如果未能及時更新,駭客便可能利用這些漏洞侵入系統,竊取伺服器內的資料或個人密碼,進一步進入內部網路。例如,駭客可能竊取董事長或總經理的電腦密碼,因為他們擁有最高的權限,可以輕易存取公司的各類網路資料。一旦駭客獲取資料,可能將其上傳到「暗網」進行交易,甚至加密資料以勒索贖金。
尤其是隨著加密貨幣(如比特幣)的興起,更助長了駭客的猖獗。過去駭客可能需要透過金融機構轉帳,但如今只需要以加密貨幣支付,受害者無法追蹤對方的位置或身分,這進一步加大了駭客攻擊的風險與難度。
二、創造病毒軟體攻擊:現代網路通常配置防火牆,能即時攔截大部分病毒,阻止其入侵。然而,駭客會設計所謂的「零時差」病毒,這類病毒因尚未被發現,不會出現在防火牆的黑名單中,從而成功突破防線侵入系統。一旦進入,它便開始攻擊電腦,竊取個人或公司的敏感資料,甚至透過「東西向移動」的方式擴散至更多系統,持續收集更多資料並將其外傳,對受害者造成嚴重損害。
大量攻擊採用三種手法
三、大量攻擊,有三種手法:
1.塞爆頻寬。譬如台灣證券交易所、行政院主計總處、兆豐金、彰化銀行等網站,今年9月陸續傳出當機,國外駭客組織宣稱犯案,以致於一般投資者要買股票,無法進入網站。
2.網站突然提出很多的要求,讓網站資源耗盡最後當機,無法正常運作。駭客透過癱瘓網站,要求支付贖金。
3.殭屍網路。駭客利用自行編寫的分散式阻斷服務攻擊(DDoS)程式,透過各種聯網設備發動攻擊,例如家中的監視器、影印機等物聯網設備。這些設備一旦被駭客控制,便成為殭屍網路的一部分,用於攻擊特定目標,癱瘓網站並實現「阻斷服務」的效果,對受害系統造成巨大干擾和損害。
鄭炤仁表示,如果沒有定期更新軟體,就容易中毒;登錄的密碼沒有三個月更新一次,也容易讓駭客進入。有些資料應該加密卻未加密,駭客就容易竊取。
推零信任架構 防資安漏洞
近年來政府推動「零信任」架構,防止資安漏洞。他表示,新冠疫情爆發前,大家都在公司上班,可以自由進入公司網站;疫情結束之後,也開始在家中或其他地方上班,離開公司的「城堡」,資安的防護環境產生變化;一旦個人登錄的密碼被他人竊取,對方便可進入公司網站竊取資料。
鄭炤仁表示,「零信任」主要是透過對任何資料存取皆永不信任的原則,採取三個驗證原則:第一個階段是「人員的辨識」。有些公司運用生物特徵(人臉辨識)認證;也有的採用登錄網站,由網站發送簡訊後,輸入簡訊的號碼,確認是當事人。
第二個階段「設備驗證」。家中有電腦、手機,這些不屬於公司的設備連線進入公司的設備,如果個人電腦設備已經有病毒,即使是對的人,病毒也會透過電腦設備進入不該進去的公司環境。
人員、設備驗證和信任推斷
第三個階段「信任推斷」。即使是對的人和對的設備,卻想要跨越權限進入系統觀看公司的重要資料,如果「信任推斷」有問題,自然會被擋下來。
他表示,資安問題最重要的三方面是:一、人人要有資安意識並接受訓練;二、流程管控很重要。先盤點有哪些資料,規定哪些資料要分級。譬如,有的訪客進入公司網站,必須用拜訪者網路;一旦更新後,要通知主管。三、網站設備的防護,主要是「零信任」。
對於教會機構方面,他認為,一、需具備資安觀念,包括更新軟體、密碼帳號的管理,備份存放問題,資訊管理上也需要有一定的程序;二、共同設立一個公共的雲端保護機制。通常教會經費有限,但是中小型教會可以集結起來,建立雲端的保護,將資料先存在這裡,不管是進出網站的人員辨識,或是有人使用教會電腦進入不良網站,甚至連到不良的連結,下載不該下載的軟體,這些都會被擋下來。三、會友個資一定要備份和加密。
鄭炤仁更提醒,近年來AI議題風行全球,各企業採用AI等新技術,亦同時面臨新的網路資安風險。AI成為兩面的利刃,資安公司可以運用AI技術找到資安問題,從關聯性的分析找到問題源頭。相對的,駭客也會運用AI技術攻擊企業、政府網站,包括運用深偽技術假扮聲音,或是設計一個客製化、讓人難辨的認證頁面或email吸引人點取,因此未來駭客AI問題,將帶來新的風險。
