2011年9月2日 星期五

臺灣企業也難倖免於難

臺灣企業也難倖免於難
雖然從各種攻擊趨勢中,證明企業已經是APT手法的受駭者。那臺灣企業是否能躲過這一劫呢?

《灰鼠行動》資安報告中受波及的6種產業
 
● 政府部門 22個
● 大型企業 6個
● 高科技產業 13個
● 國防工業 13個
● 金融相關產業 6個
● 其他智庫、非政府組織 12個
備註:5年內受駭單位共72個
 
從資安公司McAfee今年8月初所公布的一份資安調查報告《Operation:Shady RAT》(灰鼠行動)數據顯示,美國是該起調查案件中最大的受駭國,總計有49個單位受駭,其次為加拿大(4個),南韓和臺灣並列第三名,都各有3個單位受到這一波的駭客攻擊。

若進一步分析臺灣的受駭情形,其中有1個是政府單位,其餘2個則是企業(電子製造業為主),而有一家高科技電子製造業更早在2007年9月,便遭到駭客鎖定、植入惡意程式,潛伏在該企業環境中更長達8個月的時間;政府部門也從2008年4月被駭客鎖定,同樣被植入惡意程式,潛伏時間也長達8個月之久。

翁世豪指出,早在2003年9月,就已經發生有駭客針對88個政府機關,採用APT手法發動攻擊。當時根據警方和資通安全會報技術服務中心的聯手調查發現,這些受駭的政府機關除了遭到入侵、被植入相同的惡意程式之外,政府資料也持續的外洩中。到了2004年5月,駭客同樣針對臺灣政府機關採用APT攻擊手法,只不過,這種透過電子郵件夾帶惡意程式的方式,讓沒有警覺到這樣手法的臺灣政府機關受駭。

由於臺灣政治情勢比較複雜,以往,臺灣企業都認為,駭客以APT手法攻擊時,主要發動攻擊的對象都是政府部門,民間企業因為沒有任何實質的證據顯示的確是駭客APT鎖定的對象,警覺性相對不高。

但是,從這個灰鼠行動的調查報告中卻已經可以證明,臺灣老早就已經是駭客使用APT手法鎖定攻擊的對象,自此,臺灣企業已經不能無視APT對企業可能帶來的威脅性,更不能以為把頭埋在沙堆裡,漠視APT存在就可以確保企業的安全了。

除了這次的調查報告,許多的臺灣企業因為具有良好的聲譽,也具有許多高價值的智慧財產權,這些臺灣企業原本就具有的優勢,如果因為資安防護上的疏忽,一個不小心,也可能成為駭客鎖定其他國家、企業採用APT攻擊手法時的「最佳幫凶」。

最明顯的例子就是,2009年6月伊朗爆發首座核電廠遭到Stuxnet蠕蟲的攻擊。Stuxnet是一個針對西門子自動化生產與控制系統(SCADA)的惡意程式,不僅可以竊取機密資料,還可以控制企業內的系統。

以核電廠這種這麼嚴密的關鍵基礎建設而言,資安防護一定也是相當嚴密,Xecure-Lab首席資安研究員邱銘彰表示,當時Stuxnet之所以可以躲過核電廠資安認證系統的身分認證,就是因為駭客當時竊取了臺灣瑞昱半導體和智微科技這兩家具有良好企業聲譽高科技公司的數位簽章,才躲過核電廠系統的安全認證。

不論是Google、Yahoo!遭到駭客利用APT攻擊手法,導致企業資料外洩或系統受駭,或者是臺灣企業的數位簽章遭竊,變成駭客發動APT攻擊的幫凶,或許都只是凸顯企業遭到駭客鎖定攻擊的機會比以往增加而已。

但是,從去年底、今年初開始,McAfee針對駭客瞄準5大跨國能源產業業者的夜龍行動調查報告開始,一直到3月發生美國數位憑證公司Comodo傳出包括mail.google.com、www.google.com、login.yahoo.com、login.skype.com、addons.mozilla.org、login.live.com以及global trustee等7個網域共9個SSL數位憑證遭到偽冒事件,EMC RSA在今年3月同樣遭駭客以APT手法鎖定攻擊;4月則發生Sony的PSN網路遭入侵,導致上億筆個資外洩;5月則傳出使用美國RSA SecurID權杖的軍火商洛克希德馬丁公司遭駭事件,6月傳出國際貨幣基金(IMF)也同樣遭到駭客以APT方式鎖定攻擊。從今年這麼頻繁的案例,其實都已經可以證明,駭客針對企業採用APT攻擊手法已經是事實,更是常態,企業已經到了不能輕忽APT已經對企業帶來威脅的時候了。

Uni Rivner日前在他的官方部落格中有提到一段話,他說:「員工已經是企業資安最脆弱的環節……企業現有的資安防禦機制已經不足,必須再思考新的防禦方式。」這其實也提醒企業,以往企業面對資安往往是從「風險」的角度,以及「從內而外的威脅」來思考防禦機制的部署方式,但是,當駭客已經採用APT的攻擊手法鎖定特定的企業,原本的防禦機制是否可行,值得令人深思。

沒有留言:

張貼留言