觀點

金融機構對抗DDoS三步驟 : 制訂原則、檢視對策、明訂步驟

2015 / 06 / 25
張運達(Donny Chong)
金融機構對抗DDoS三步驟 : 制訂原則、檢視對策、明訂步驟

    對全球金融業者來說,攻擊流量愈來愈大的DDoS (Distributed Denial of Service)分散式阻斷服務攻擊手法,已經成為揮之不去的夢魘。近來最著名案例,莫過於2015年5月爆發香港兩大銀行,中銀與東亞銀行遭受大流量DDoS襲擊,而且駭客組織更進一步提出勒索贖金要求。儘管上述兩家銀行都宣稱已妥善處理,但熟悉資安生態的人都知道,該事件只不過是DDoS攻擊威脅中的冰山一角,全球各地幾乎每天都有銀行遭到DDoS攻擊的事件。

    對台灣企業而言,行政院資安辦公室副主任吳啟文就曾在2015年亞太資訊安全論壇專題講座上提到,資安辦公室將會提出「資安管理專法草案」,對資安經費比例與做法都會有所規定,適用對象並不限於政府機關,也希望能透過各主管機關要求轄下業者對資安防護達到一定水準。在台灣專法擬定出來之前,我們或許可以參考來自國外的建議作法:

金融機構對抗DDoS策略一、二、三
    面對愈來愈嚴重的網路資安威脅,在2015年美國證券交易委員會制訂出一套指導原則,裡面有許多建議金融機構實施的方案。首先是實施定期安全評估,先進行完善資安風險評估後,有助於確認企業內有多少潛在網路安全威脅和漏洞,讓後續規劃的資安政策方向更為有效。第二個重點,是建立一套在安全威脅發生時的應對策略,資安人員還是得定時對策略進行檢測與演練,才能確保應對策略的有效性。最後,企業應該要明訂實施資安防護的政策和程序,讓所有員工瞭解公司有建構資安防護網的決心,有利於後續資安防護政策的推動。上述三大方向,對臺灣金融產業可以參考依據,建構整體資安防護網的指導原則,定期依序做到制訂原則、檢視對策、明訂步驟,增加多個防禦準備方式阻擋DDoS於大門之外。

    平心而論,在駭客透過社交平台散播惡意程式成效極佳的狀況下,金融單位遭受的DDoS攻擊流量,至少是過去10倍以上,早超過傳統DDoS設備能夠承受的範圍。在DDoS攻擊威脅的背後,有兩個容易被企業忽略的思考重點,首先是企業商譽會受到嚴重影響,以今年五月香港兩家銀行受到攻擊事件為例,在網路銀行服務停擺之後,勢必會影響到客戶的信心。其次,駭客發動DDoS攻擊,可能是一種聲東擊西的手法,主要是為侵入銀行系統、竊取資料作準備。如2014年摩根大通銀行爆發大筆資料被竊取的事件,即是因為資安設備遭到DDoS攻擊癱瘓,才導致700萬筆機密資料被竊取。

結論
    金融機構雖為各產業中最為重視資安之產業,對勒索者來說,卻也是更明確的目標。DDoS攻擊的變形與聲東擊西手法,顯然已經起了作用,造成金融業損害。提醒金融機構應重新審視評估本身目前金融資安的策略,是否能夠足以因應這股新興攻擊之威脅。

                                                                       本文作者目前任職於Nexusguard 產品總監