近日DDoS攻擊事件值得持續關注

2017 / 02 / 06

邱述琛

金雞年農曆年假剛結束之際，國內驚傳首件針對多家證券業者進行分散式阻斷攻擊（Distributed Denial of Service ，DDoS）的攻擊事件。目前雖然還處於事件調查與研議後續預防與因應方式的階段，我們先不論斷事件發生原委與責任歸屬，而換另一個角度去檢視遭遇到攻擊事件時，如何採取風險管理的思維去了解歸因與防禦。

回顧2016年，去年國際間曾經發生多起大規模的DDoS攻擊事件，其攻擊流量屢創新高，經調查其中多起事件的攻擊流量來自國內的情況亦屢屢提升，由此顯示國內可能已有為數不少成為駭客所操控的魁儡設備。這一時之間，大家聞DDoS而色變。以往攻擊者想發動DDoS攻擊，必須投入相當多的資源，如今拜物聯網設備的迅速普及所賜，專業的DDoS攻擊已在以服務的形式出現，讓駭客可以輕易突破原本的限制。例如，只需支付比特幣，即可輕鬆指定攻擊對象、攻擊流量，輕鬆達成「一指式（依指示）攻擊」目的。

回到國內，近日所發生的事件，則是一種嶄新的手法，駭客先針對特定產業，發動測試性、小規模的攻擊，一方面證明其具有發動攻擊的能力，一方面製造集體恐慌，然後再視受攻擊者的反應，決定是否進行後續大規模攻擊與進行攻擊的對象。雖然過去也曾經發生「DDoS之狼來了」事件，駭客詐騙集團透過電子郵件恐嚇將要發動攻擊，向企業勒索數量不等的比特幣，但經調查後發現該集團從未真正展開攻擊，但實際情況卻仍有企業選擇支付，為什麼呢？因為一方面企業沒辦法確定駭客是否會發動攻擊！二方面一旦駭客發動攻擊，企業沒有絕對的把握能夠防守的住！

據目前報導，駭客對國內劵商放話，若不付款，後續將發動另一波更大規模的DDoS攻擊，相信證劵業者與主管機關現在也都如臨大敵，積極強化各項安全管控與防範措施！

不容小覷 DDoS 攻擊從企業到國家安全
DDoS是一種很古老的技術，但卻又是非常常見的網路攻擊方式。然而，我們不該忽略，此類攻擊手法所帶來的威脅，可能從企業端提高到國家安全層級都必須正視此高度的潛在風險。例如，2015年底，知名的烏克蘭電腦遭駭客入侵事件的調查報告中即顯示，駭客使用BlackEnergy變種惡意程式利用斷電後，針對客服中心發動DDoS攻擊，讓申報斷電的電話無法撥入，藉此延後系統管理人員發現電網有問題的時間，此即是一個非常典型的案例。再者，假想駭客是否有可能進一步癱瘓交通系統，癱瘓股票市場的情節等等呢? 如今，部分歐美先進國家，已經把網際安全提升到國家安全層級的問題，同時近年已有多個國家成立專責的網際安全防禦單位，甚至是網際安全攻擊單位，相關發展再再的顯示網際戰爭（Cyber-Warfare）已不是只出現於虛幻的電影情節內，而是可能發生在你我週遭的真實事件。

複雜的DDoS問題無法用單一的解決方案
過去發動DDoS攻擊因為攻擊者基本上無法取得任何的資料或直接利益，且成本較高，故無論是攻擊時間、攻擊流量都相對較低，因此受攻擊的企業最常採用重開機，釋出資源來因應，但在目前的環境，這種方式已完全無法解決問題。

筆者建議，國內企業應該以風險管理的角度，對於提供服務針對此類突然而來的網路攻擊，進行評估與分析，並針對各種類型的網路攻擊應承載的攻擊強度，預先設計整合的防護方法，並進行模擬測試，才能夠在這波新興國際駭客攻擊潮中，平安生存。這其中切記，當面對複雜的問題，單一導入一套產品，無法可以完全解決問題，需要深思。

DDoS攻擊發展持續關注
本次國內首見針對特定產業發動DDoS攻擊的事件，目前尚無法判定攻擊者是否意圖將原本攻擊單一企業的方式，升級成影響產業經營的事件，也無法完全排除未來可能影響金融交易，甚至是涉及其他國家安全層次的關鍵基礎設施。

KPMG預測，凡是產業提供服務與資訊系統有無法停機壓力的產業，都是最容易遭到DDoS駭客鎖定的目標，包括：政府的網路便民服務系統、金融業的線上交易系統、線上遊戲系統、電子商務線上交易系統、製造業供應鏈系統等。

目前得知有2家證券商已經主動跟警方報案，刑事局也證實將與臺北市警方共同查證，並且追查發動此攻擊事件駭客的身分。筆者有兩點提醒如下。首先，國際間駭客運用DDoS對廠商進行恫嚇，時有所聞，但對特定產業多家廠商同時進行，則並不多見，駭客是否運用DDoS製造混亂，甚至是用來轉移焦點，來掩飾其真正目的（如：進行其他入侵行動等），值得關注。其次，一般網際犯罪與組織性網際攻擊是層次上是完全不同的，前者的目的是獲取利益、後者則是製造混亂，或是其他具有戰略價值的行動，一般多是國家級或國家支持的駭客組織所發起，其攻擊目標，大多是針對與民眾生活息息相關或涉及國家安全層次的關鍵基礎設施的目標為主。
筆者非常期望政府主管機關能藉由此次事件，針對網際犯罪、網際攻擊研議一套完整的因應處理機制，而非僅是以偶發個案方式來處理。如考慮對一般網際犯罪與組織性網際攻擊研議不同主管機關、處理規則、監控機制、事件升級規範等，先行參考國外一些先進國家的網際交戰規則（Rule of Engagement, ROE），或許是一個值得參考與借鏡的方向。

本文作者目前任職於KPMG數位科技安全（Cybersecurity）服務部協理一職。