金融機構對抗DDoS三步驟 : 制訂原則、檢視對策、明訂步驟

2015 / 06 / 25

張運達(Donny Chong)

    對全球金融業者來說，攻擊流量愈來愈大的DDoS （Distributed Denial of Service）分散式阻斷服務攻擊手法，已經成為揮之不去的夢魘。近來最著名案例，莫過於2015年5月爆發香港兩大銀行，中銀與東亞銀行遭受大流量DDoS襲擊，而且駭客組織更進一步提出勒索贖金要求。儘管上述兩家銀行都宣稱已妥善處理，但熟悉資安生態的人都知道，該事件只不過是DDoS攻擊威脅中的冰山一角，全球各地幾乎每天都有銀行遭到DDoS攻擊的事件。

    對台灣企業而言，行政院資安辦公室副主任吳啟文就曾在2015年亞太資訊安全論壇專題講座上提到，資安辦公室將會提出「資安管理專法草案」，對資安經費比例與做法都會有所規定，適用對象並不限於政府機關，也希望能透過各主管機關要求轄下業者對資安防護達到一定水準。在台灣專法擬定出來之前，我們或許可以參考來自國外的建議作法：

金融機構對抗DDoS策略一、二、三
    面對愈來愈嚴重的網路資安威脅，在2015年美國證券交易委員會制訂出一套指導原則，裡面有許多建議金融機構實施的方案。首先是實施定期安全評估，先進行完善資安風險評估後，有助於確認企業內有多少潛在網路安全威脅和漏洞，讓後續規劃的資安政策方向更為有效。第二個重點，是建立一套在安全威脅發生時的應對策略，資安人員還是得定時對策略進行檢測與演練，才能確保應對策略的有效性。最後，企業應該要明訂實施資安防護的政策和程序，讓所有員工瞭解公司有建構資安防護網的決心，有利於後續資安防護政策的推動。上述三大方向，對臺灣金融產業可以參考依據，建構整體資安防護網的指導原則，定期依序做到制訂原則、檢視對策、明訂步驟，增加多個防禦準備方式阻擋DDoS於大門之外。

    平心而論，在駭客透過社交平台散播惡意程式成效極佳的狀況下，金融單位遭受的DDoS攻擊流量，至少是過去10倍以上，早超過傳統DDoS設備能夠承受的範圍。在DDoS攻擊威脅的背後，有兩個容易被企業忽略的思考重點，首先是企業商譽會受到嚴重影響，以今年五月香港兩家銀行受到攻擊事件為例，在網路銀行服務停擺之後，勢必會影響到客戶的信心。其次，駭客發動DDoS攻擊，可能是一種聲東擊西的手法，主要是為侵入銀行系統、竊取資料作準備。如2014年摩根大通銀行爆發大筆資料被竊取的事件，即是因為資安設備遭到DDoS攻擊癱瘓，才導致700萬筆機密資料被竊取。

結論
    金融機構雖為各產業中最為重視資安之產業，對勒索者來說，卻也是更明確的目標。DDoS攻擊的變形與聲東擊西手法，顯然已經起了作用，造成金融業損害。提醒金融機構應重新審視評估本身目前金融資安的策略，是否能夠足以因應這股新興攻擊之威脅。

                                                                       本文作者目前任職於Nexusguard 產品總監

DDoS 金融