https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

珍珠港危機再現?美國國土安全大追蹤 (上)

2004 / 09 / 13
文/Suzanne Gorman 翻譯/路克
珍珠港危機再現?美國國土安全大追蹤 (上)

去年春天美國情報人員在巴基斯坦內陸山區某處,發現一台筆記型電腦,其中包含了許多對於美國重要設施的詳細偵察情報,看來基地組織(Al Qaeda)顯然花了不少時間在監視美國本土的重要金融中心及企業總部,像是美國保德信保險公司、花旗集團、紐約證交所、世界銀行與國際貨幣基金組織。

令人回想起賓拉登在2001年發表的一席話,「誓言使用一切手段擊潰美國的經濟環境,打擊敵人主要的國家重要支柱。」不禁令人毛骨悚然。

FS-ISAC主席Suzanne Gorman認為,「不能將這種威脅僅視為對實體設施的攻擊,當實體設施遭受到攻擊,連帶會影響到電腦網路上的資訊資產,這也算是對電腦網路的攻擊方式之一。」假如發現情報中指出,目標可能遭受汽車炸彈或其他實體的攻擊威脅,儘管非同時對實體與電腦網路進行攻擊,金融服務資訊分享與分析中心(FS-ISAC)仍然立即警告其成員提高警覺。Gorman同時也是紐約證券交易所與美國證券交易所合資之子公司,證券業自動化公司(Securities Industry Automation Corporation; SIAC)的總經理。

基地組織的目的很明顯,攻擊任何具價值的實體關鍵基礎建設,可以削弱美國的經濟實力,令貨幣金融體系失序、打擊美國甚至國際市場的信心。此攻擊模式正如令人恐懼的「數位珍珠港事變」翻版,而且自從90年代以來就不斷有人預言,這種綜合實體與電腦網路的攻擊事件可能會發生。
關鍵要務
911事件之後幾個月,網路安全大老Richard Clarke曾提出警告,國家一些重要的關鍵基礎建設與服務,籠罩在遭受電腦網路攻擊的危機中。包括政府單位、金融服務、交通運輸、能源電力與通訊設施…等,美國政府亦擬定「美國國家網路安全策略(National Strategy to Secure Cyberspace)」,以作為保障關鍵基礎建設的行動藍圖。

超過80%的關鍵基礎建設乃是屬於私人企業,對他們而言增加額外的安全措施(如:備援方案與預留緊急應變能量),並不會產生太大的經濟效益。不過目睹這些恐怖主義國家虎視眈眈之後,開始有人認為建立系統的安全與防禦措施已是當務之急。

安全大師史奈爾(Bruce Schneier,Counterpane網路安全公司CTO,同時也是《超越恐懼》(Beyond Fear)的作者),他說:「像蠕蟲及不知為何而戰的駭客,無特定目標的恣意攻擊,稍有不慎就可能引起連鎖效應,造成極大的損害」、「這種威脅離我們越來越近了!比起網路恐怖主義者的攻擊,更令人憂心。」

本期《Information Security》雜誌將帶領大家回顧911事件以來,美國對於關鍵基礎建設的安全防護,面對威脅的應變對策,以及目前不足亟需強化之處。

金融服務篇
機密性、完整性與可用性(CIA)是金融服務業的箴言,為了達成這三種目標,企業已經投入不計其數的預算,用於建構安全基礎設施、政策與安全計畫之上。《Information Security》雜誌近期的調查研究顯示,儘管已投入如此龐大的人、物力,但令人詫異的是,有過半的金融服務資訊人員與安全專家,認為他們面對電腦網路攻擊活動,仍未作好準備。但是,已經比911事件發生之前的狀況,好得太多了!

Gorman 認為,「在金融服務產業的安全基礎架構中,採取多層次(multitiered)的縱深防禦架構,使我們在有限的時間內,達到更完整的防禦目標。」

遭遇電腦網路恐怖主義與資訊戰襲擊,銀行、證券商、創投公司與保險公司,應該將安全應變視為其業務持續營運的重要議題。金融機構將重新分散部署其人員工作地點、基礎設施與資料存放點的規劃,並且建立穩固的備援措施與通訊線路。

紐約銀行資深副總暨資安經理Eric Guerrino表示,「這幾年來業界對於備援地點及線路的地點與距離(route diversity)並沒有一個明確的定義。」所以,當你在申請一條備援線路時,你無法得知這條線路與主線(primary line)之間的距離,以及是否與主線走同一條電路的相關資訊。

金融服務公司必須依賴其他關鍵基礎建設,如:電力能源、通訊。必須將這些關鍵基礎建設的保護,列入安全與業務持續營運計畫(BCP)中,更有些企業乾脆自行購置發電機與儲油,以因應其設施之電力備援。

Guerrino說:「我們已經將電力短缺列入風險威脅之一,並做好全方面的衝擊影響評估。」 FS-ISAC 的宗旨在於分享威脅的資訊與情報。透過FS-ISAC與其他的資訊交換,讓金融服務業攜手剖析、對抗各種威脅。評論家認為,FS-ISAC只是大銀行的俱樂部,把中小型金融機構都排除在資訊共享圈之外。針對此評論,Gorman表示,他們正試圖改變這一點。

「在2001年911事件發生之前,我們只有70個會員,而忽略了其他大部分的中小型機構,共約30,000個。現在已經有637個會員,並持續增加中。」Gorman說。 Gartner 分析師Richard Mogull 表示,「我認為一個人做幾件事就可以搞垮整個銀行體系,是不大可能的。但是,確實有可能讓金融業遭受重大創傷。」

電信服務篇
在911事件前兩個月,一列貨運火車在巴爾的摩的隧道中起火燃燒,毀損多家電信服務線路與網際網路骨幹。幾天之後,從華盛頓特區到新英格蘭的通訊也間歇性中斷,部分區域的服務營運亦均告中斷。

多大條的事情會使電信服務業的安全經理在半夜中從床上驚醒?是駭客或蠕蟲攻擊系統,使系統崩潰﹖或造成更大範圍的損害?攻擊電話系統的交換機、無線網路站台、攻擊網際網路上的名稱伺服器(DNS),都會使得整個國家陷入又聾、又盲、又啞的狀態。調查中顯示,約有2/3電信業的資訊人員與安全經理,認為他們已經為可能發生的電信與網路攻擊,做好萬全的準備。

甚至有些電信業的安全經理,已經想好了18套所謂的「末日劇本」,以因應可能發生的任何狀況。像Verizon公司的安全經理John Lewandowski便是一例。 Lewandowski表示,「假設我是攻擊者,我絕不會僅僅使用一種攻擊手法,我一定會就把這些蠕蟲、阻斷服務攻擊混和著用,重擊美國。」、「我們針對這點已經採取監控偵測措施,任何風吹草動都會立即通知其他業者。」

SBC 通訊公司指出,近年來電信系統的弱點每年都在倍增。現在業界傾向攜手共同建立、研擬如何規避風險威脅的新標準、作業程序與新的安全防護技術。像是電信資訊共享與分析中心(Telecom-ISAC)、美國聯盟通信委員會(FCC)下屬的網路可靠性與相容性、理事會(NRIC)及美國國家安全電信諮詢委員會(NSTAC)…等,都是這方面的先鋒部隊,負責主導與影響電信安全政策。

「更進一步從通訊來探討網路安全,又衍生更多安全的議題。」北電電訊的網路安全主管Rod Wallace說。「兩者的關係非常密切,因此對於網路安全更要小心謹慎地面對。」 Forrester Research 分析師Michael Rasmussen表示,電信業在所謂關鍵基礎建設的重要性僅次於金融服務,排在第二重要的位置。不久的將來,我們會看到這些關鍵基礎建設的防護上,更強化其整合度與協同作業能力。而成功的關鍵在於,Telecom-ISAC與國土安全部(DHS,Department of Homeland Security)如何將他們兜起來。

Rasmussen說,「國土安全部提高了實體設施安全的防護經費,相對的也降低了電信基礎設施的預算,而且電腦網路安全預算亦被緊縮。假使預算能調高兩個百分點,對電腦網路安全防護的預算而言才算夠用。」 「我們的電信基礎設施有沒有可能被電腦網路攻擊所擊潰?其實不太可能,而且電信服務的防禦會越來越穩固。」Wallace如是說。

作者/Suzanne Gorman為FS-ISAC,美國國土安全部金融服務資訊分享與分析中心主席