觀點

以有限資源與妥適的分配來應變資安威脅 (上集)

2017 / 06 / 01
編輯部
以有限資源與妥適的分配來應變資安威脅 (上集)

有資訊就有資安,面對無所不在的網路攻擊,資安人員常擔心自己的機關組織成為下一個受害者。但如果能改變資安思維,將資源做好妥善分配,就能有效率的做好資安工作。負責研擬全國資安工作的行政院資安處處長簡宏偉表示資安工作首要在安全、便利與效率三者間取得平衡。他強調資安是風險管理,既然是風險管理就沒有百分之百安全的情況,而是要取決於保護的標的為何,他認為:「資安不要無限上綱,讓大家什麼都不能用」。所以做資安要先清楚風險在哪,才能知道最該保護的是什麼,將有限資源做出最妥適的分配。

全球科技風險急遽升高
要分配有限的資源,就得列出資安工作的優先順序;要列出優先順序,則需了解現今面臨的風險有哪些?臺灣BSI標準驗證公司總經理蒲樹盛表示,《世界經濟論壇2017年全球風險報告》中提到,現今企業組織面臨最大的風險第一名是環境風險,像全球暖化的議題,其次是社會經濟風險,第三才是科技風險。但蒲樹盛提醒,科技風險在2008年以前根本不在前10名,但從2014年開始則急遽攀升,今年已成為前三大風險之一。其中網路攻擊、資料詐騙與關鍵基礎設施保護這三項就佔科技風險的80%。

另一份由營運持續協會(BCI)與英國標準協會(BSI)所發表的2017年地平線掃描報告也同樣指出,網路攻擊、資料外洩與無預警的資訊與通訊中斷為企業所面臨的前三大威脅,由此看出當前資安面臨的攻擊風險所在。

IoT將成最大隱憂
國家資通安全會報技術服務中心組長劉建良指出,IoT裝置與網通設備已成為駭客鎖定的攻擊目標,以近來大家聞之色變的DDoS攻擊來說,許多就是透過控制IoT裝置來發動的。根據Gartner預估,2016年全球約有64億IoT裝置,到2020更將達到208億個,如此龐大的數量,當然成為發動DDoS攻擊的最佳媒介。相較PC需花長時間入侵,這些IoT設備在設計之初多半未有良好的資安防護,且幾乎不會關機,可用數量穩定,也更符合駭客的經濟效益。

至於網通設備,除了上述廠商設計上的缺失,讓駭客能透過韌體的漏洞或Web管理介面的弱點,利用SQL Injection的方式入侵外,還有一部分是使用者本身的管理不當所造成。劉建良舉例像是使用者只注重可用性,接通設備後就忽略了設備的管理,直接使用廠商預設的帳號、密碼而不去修改。或是未設定適當的存取權限與方式,讓攻擊者能用預設密碼或字典檔進行暴力破解以控制設備。

政府資安事件案例分享
劉建良也分享了一些近期政府機構遭攻擊的案例與處置方式,以供大家參考。以資料外洩為例,有公務機關為推展其業務,在民眾臨櫃申請加入網站會員時,直接以民眾身分證字號為帳號,與「12345678」作為預設的密碼。有心人士就透過這個設計上的疏失取得三萬多筆民眾個資後,就規定避免使用身分證字號作為預設帳號,且要求增強密碼強度與更換頻率。

另一個利用應用程式漏洞攻擊的例子,今年3月6日在Apache官網公告關於Struts2的安全漏洞後,接著某機關在3月8號就立刻發現有外部異常的連線行為,透過WAF的檢視,確認為對外網站遭駭客利用此漏洞植入惡意程式。後來該機關除了還原系統,對Struts2進行修補更新外,同時全面清查內部系統的更新狀況。另外在WAF上也設置了阻擋的規則,並核對WAF阻擋記錄,以確認沒有其他系統遭到入侵。

最後一個則是關鍵基礎設施遭到入侵的例子,某機關用來控制電力、污水與消防設施的環境控制系統,因為對外開放查詢服務又未做好存取權限的控制,而被攻擊入侵,並用以對外散播惡意程式。處理方式就是做好這些環控裝置網路環境的防護,進行IoT裝置存取權限控制。

針對後兩者的威脅情況,劉建良特別提到,單位資安人員要能確實掌握機關內所屬設備的軟、硬體組態。特別像是過往設置或自行開發的系統,常常經過2、3代就沒人清楚,所以在職務易動時交接要確實。另一種狀況則是一些像IoT的工控設備購置後,會轉移到其他相關的業務部門,例如監控設備可能會交由保全人員使用,此時IT部門也要能掌握到這些裝置的使用單位,一旦發現問題時才能馬上邀集內部同仁進行改善。

(下集) 以有限資源與妥適的分配來應變資安威脅