觀點

有賴統一指揮機制快速應變-DDoS網災來襲 政府準備好了嗎?<應對機制篇>

2009 / 11 / 13
張維君、吳依恂
有賴統一指揮機制快速應變-DDoS網災來襲 政府準備好了嗎?<應對機制篇>

分散式阻斷服務攻擊(DDoS)雖然不是新鮮事,但7月初在韓國、美國真實上演時,其囂張的行徑仍然令人驚駭三分。儘管對於這次攻擊事件是駭客惡作劇或網路戰爭,專家們有不同看法,然而由於韓國不管是在政治外交環境、資訊科技基礎環境與應用發展都與台灣類似,因此很容易聯想萬一台灣發生類似事件會如何應變處理。以下以DDoS攻擊為例,討論目前台灣處理網路安全事件的應對機制問題。

政府部門通報應變機制已建置

微軟亞太區全球技術支援中心專案經理林宏嘉認為,比起前幾年的DDoS攻擊情形,現在由於網路設備承載力較好、網路骨幹頻寬大,一旦DDoS攻擊發生,被攻擊方有較多緩衝時間可來處理,網站中斷時間不會持續太久。成功大學資通安全研究與教學中心主任賴溪松也認為,若未來真的發生對台的大規模DDoS襲擊,從GSN骨幹阻擋,台灣應有能力可以如愛沙尼亞般阻斷來自於外部的攻擊源。

 

研考會:從事後應變到即時訊息預警

 

在國家資通安全會報,負責通報應變組的行政院研考會資訊管理處主任吳啟文表示,過去5年來一直在做事後的資安事件通報與應變,成效較為有限,而今年最大突破是希望做到事前的訊息即時分享。透過在重要機關佈署警示系統,包括蜜網系統(Honeynet),能將蒐集分析到的中繼站資訊或Botnet資訊在第一時間及時分享,並於GSN(政府網際服務網)骨幹直接攔阻惡意連線,而不需要讓惡意程式進到組織內網環境來。如此便能早期預警、立即因應處理,而不用總是在造成資安事件後做通報應變。「與GSN即時訊息的分享,希望能由現在每24小時通報1次進步到12小時1次。」吳啟文說。

訊息分享已看出一定成效,根據研考會統計,GSN最近一年攔截超過4,000萬次惡意連線。透過系統累積的資料,甚至還可產出統計報表,哪些機關總是在排行榜名列前矛,代表其內部網路環境出現管理問題,可能有被安裝後門程式,或漏洞遲未解決。

此外,為了要做到訊息自動化的即時分享,研考會與技術服務中心也正在制定第二版的資安事件資料交換格式(SIDEx, Security Incident Data Exchange),以便將來可透過資訊分享與分析中心(ISAC, Information Sharing and Analysis Center)平台的串聯,達到自動化的訊息傳遞,此一專案預計於9月完成。

技服中心主任劉培文指出,這樣做的目的就像是要串起資安的Supply chain。目前政府行政部門之間通報應變管道,即各單位2名資安事件緊急聯絡人窗口資訊已經準備好,但目前通報程序是半自動的,接下來SIDEx第二版,希望建立起資安事件的資訊交換協定,經由ISAC平台,能夠自動觸發資訊通報機制。

今年研考會的主要計畫是將本身政府部門的G-ISAC與各事業主管機關,如NCC的電信業ISAC以及教育部A-ISAC串連起來。過去一旦發現有Botnet問題,在學術網路部份可直接通報教育部電算中心(請見「學術網路」),如今NCC也建置起電信業ISAC,在民間機構部分就可透過主管機關NCC通報6大ISP業者。後續逐年串聯起其他分享平台。

 

究竟通報誰?
串連政府、民間的通報應變協
調單位

綜上所述,儘管政府部門的通報協調有研考會掌管,其中技術服務中心所負責的國家電腦事件中心(TWNCERT)即是擔任起政府部門間的通報處理角色,同時也代表參與國際組織會議(請見「技服中心」)。然而,民間機構的資安事件通報應變目前卻無人聞問。出了事,例如被DDoS攻擊,只能各自尋求廠商協助解決,至於事後是否報案或調查事件原因,則完全乏人問津。一方面,受駭單位也許不想曝光,另方面就算報案,追查到後來攻擊來源也多半是在國外,往往不了了之。但這背後另一個問題是,就算受駭單位有心想維護網路社會公平正義,有心要通報,卻不知該通報誰。過去是由台灣電腦網路危機處理暨協調中心(TWCERT/CC)扮演此角色,而財團法人台灣網路資訊中心(TWNIC)也已成立網路安全委員會,期盼未來能發揮更大的協調整合功能。

網路攻擊雖然會有零星的事件,或特定對象的目標式攻擊,但也越來越多是不特定標的物,針對大範圍的攻擊。以今年3月的MSN轉址事件為例,當時MSN台灣網站、CNET新聞網站均傳出使用者在瀏覽網頁時,遭轉址到大陸某惡意網站的情形。然而事件發生時,只見論壇上各方資安專家憑有限線索推斷事件原因,受駭單位只能靠自己尋求資源解決問題,並做好自己的應變處理。然而同一時間相關各單位卻互踢皮球,沒有人肯出來協調調查,而讓攻擊者逃之夭夭。新聞事件落幕,事實真相卻仍是羅生門。

資安事件的協調整合機制,除了需跨政府、民間之外,也需把各方資安廠商納入,才能在事件發生時快速應變。「此類事件考驗的是受害單位的應變能力」林宏嘉說。以這次韓國事件為例,微軟於2小時內獲得客戶通報,緊接著製作惡意程式樣本並通報其他防毒軟體廠商。同時,與ISP業者合作,透過骨幹網路阻擋,因此在第4波攻擊時就已有惡意程式樣本,受影響的網站也大幅降低。(請見「攻防技術」篇-美韓DDoS事件受駭網站列表)


反觀台灣,雖然在GSN網路及政府相關部會的防護皆已陸續築起城牆及應變機制,然而民間機構被DDoS的案例仍時有所聞,也缺乏通報應變管道。面對這類網路治安問題,不可能會有完全解決的一天,各機關平時應有一套應變機制,以求能在最短時間內得到協助並能將損害降低。

此外,資安專家也提醒,除了DDoS之外,現今更要注意的是阻斷DNS的攻擊,藉由阻斷此類基礎架構,也能造成全面性的網路癱瘓,就如同大陸之前發生過的暴風門事件。也因此,基礎建設咽喉點的破壞被認為是未來的網路攻擊趨勢。

八八水災已讓人感受到中央救災應變機制的重要,如何從中央到地方,從政府到民間,從救災到災後重建都需要一連串的協調整合。網路安全事件也是如此,當網災來襲,應能快速啟動整合運作平台,才能跟時間賽跑,將災害減到最低。生命資產最為可貴,但在數位社會的時代,網路上的資產也須更加受到保護。