上回細說明孟加拉央行攻擊事件的啟示 – 攻進金融業核心應用。 今回,我們將針對孟加拉事件帶給我們的學習。同時,也分別採訪了資安產官學專家,從多面的角度觀看資安的防禦。
孟加拉事件帶給我們的8堂課
「這次攻擊事件凸顯駭客已有能力攻進金融業核心應用,如同先前核電廠的工控系統SCADA遭入侵一樣,所造成的衝擊不只是受害單一企業,甚至對整體金融秩序造成影響,企業與主管機關不能小覷,」勤業眾信風險諮詢服務總經理萬幼筠說。
勤業眾信風險諮詢服務總經理萬幼筠表示,駭客已有能力攻進金融業核心應用,企業不能小覷。
日前亦跨國參與某銀行SWIFT系統攻擊事件鑑識調查的萬幼筠指出,這次的攻擊程式碼與先前對南韓攻擊的程式碼有一萬行高度類似。不管是否屬同一駭客團體所為,這種組織性犯罪對抵抗力差的銀行來說,幾乎無法招架。 亡羊補牢,為時不晚。透過孟加拉央行攻擊事件,企業應重新審視以下資安控制措施是否確實到位:
1.掌握黃金反應期,具備全面清查的能力
FireEye台灣暨香港區技術經理林秉忠指出,現在的APT攻擊,駭客潛伏進去企業內部網路後會先按兵不動,在2至3個月內不斷進行偵查、提高權限,再偵查、提權的行動,以觀察內部系統運作,並尋找具有價值的目標主機。因此,企業必須能掌握這段黃金反應期,在問題更嚴重之前,及早發現異常並中斷惡意程式對外連線。
林秉忠表示,以往防毒軟體偵測到惡意程式後,就是取得樣本然後重灌系統,但現在的APT攻擊,光是移除惡意程式還不夠,最好先觀察後門程式採取哪些行為,並透過端點清查機制進行內部清點。尤其是大型企業透過端點偵測與回應(EDR, Endpoint detection and response)工具的協助,可一次對上萬台端點電腦進行全面清查,了解有問題的是哪些機器設備,並做有效的災害控管。
FireEye台灣暨香港區技術經理林秉忠表示,企業必須在黃金反應期內,及早發現異常並中斷惡意程式對外連線。
2.建立異常即時監控機制
IBM軟體事業處協理金天威指出,這類網路攻擊事件並非靠單一解決方案就能解決,往往需要不同面向的整理與串聯,才能將個別來看看似正常的行為,串聯來看發現可疑的攻擊。包括從以下面向,例如系統交易的日誌,在發現異常時可提供異常事件示警;從系統登入的成功/失敗記錄發現異常;應用系統也應定期進行弱點掃描。此外,當系統被提升權限時應能立即發出告警。
IBM軟體事業處協理金天威表示,企業應針對重要資產尤其特權用戶進行特別監控。
3.權限控管與特權監控
做好權限控管並落實最小授權原則。摩根大通(JP Morgan Chase& Co)銀行在事件發生後也依照政策,重新檢視某些系統的使用者存取權限,並減少部分員工存取SWIFT系統的權限。金天威表示,針對企業重要資產、資料、交易流程中的檢核點、存取的使用者尤其是特權用戶,需要進行特別監控,將人、事、時、地、物記錄下來。
專家看法/台灣賽門鐵克首席技術顧問張士龍
從賽門鐵克最新一期網路威脅分析報告表示,過去這六年來,惡意變種程式已經從每天 6,400支成長至每天 1,179,000支,共成長184倍。所以千萬不要用過去安全思維來防護今日企業網路。唯有透過多層次安全防護,才可以有效降低企業安全風險。在企業資源預算有限下,可採取由內而外,向外延伸的防禦架構:1.端點安全防護 ? 2.閘道防護(內容過濾及APT) 3.資安委外服務。
4.網路分段隔離 政策確實執行
林秉忠指出,企業內部網路可透過內部防火牆或VLAN技術採取分段隔離並配合存取控制,以隔絕非法使用者與企業關鍵重要資產,避免駭客進到內網就暢行無阻。且網路分段政策須能確實執行。以SWIFT系統來說,許多大型銀行採取多道防火牆進行隔離,或採實體隔離方式,與一般網路環境隔絕。
5.核心應用必採雙因素認證
重要的應用絕對必須採用雙(多)因素認證。在SWIFT組織提出的客戶安全計畫中,也強化對雙因素認證機制的支援。
專家看法/捷而思董事長吳建東
SWIFT這麼重要且安全的系統會出現這樣的問題,相信有更多系統擋不住同等級的駭客或內部人攻擊。針對此次攻擊事件,我們認為除了使用傳統的防毒軟體來保護之外,可以有更一勞永逸的防護方式以避免類似攻擊。
1. 為防止駭客以社交工程攻擊銀行員工,所有銀行公務的電子郵件不論電腦或手機均應使用電子簽章及加密的郵件系統,最好採用硬體晶片進行簽章及加密的作業,非簽章且加密的電子郵件一律排除。
2. 很多人不知道PDF文件很容易假冒及攜帶病毒,銀行要如何確認日常交易確認的PDF文件是來自真正的交易對象呢? 其實 PDF也是可以進行電子簽章及加密的,這麼重要的轉帳資訊,PDF簽章這事當然值得做 !
3. 轉帳之所以容易被駭客取得權杖,單純的帳號及密碼認證也是很大的風險,採用雙通道多因子認證將大幅降低這樣的風險,例如使用 QR OTP一次性密碼再輔以指紋生物識別,或安全硬體晶片以及軟體安全元件等,都有助於降低資安風險。
6.威脅情資與ISAC
每個駭客組織慣用不同的攻擊工具、採取不同的攻擊戰術,而這些資訊就是形成威脅情資(Threat Intelligence)的內容。威脅情資可以是IP黑白名單、惡意網站URL或以API方式匯入到既有資安設備如防火牆或SIEM平台中去自動擋下可疑來源。林秉忠表示,威脅情資涵蓋內容很廣,舉凡激進駭客主義的攻擊行動、對工業控制系統的攻擊等,然而對CISO而言最需要關注的威脅情資就是同業、上下游供應鏈或有相同地緣關係的企業所遭遇的資安事件。透過這些威脅情資,再將它轉化為具體行動方案,融入到企業的資安控制措施當中並做強化。
以這次孟加拉央行事件為例,就可以將駭客使用的工具、戰術與程序TTP(Tactics, Techniques, Procedures) 匯入到端點偵測工具中進行內部清點,以了解企業是否已遭受入侵。
7.建立事件處理團隊
萬幼筠表示,許多企業都已建置資訊安全管理系統(ISMS)並通過驗證,然而透過ISMS的程序與控制措施其實只能解決8成的資安問題。其餘2成需要透過資安技術專家來進行資安事件應變與處理,才能及早發現異常。此外,CISO需要懂業務,才能提出好的資安架構與控制措施。
8.加入非IT的確認程序
重要的交易通常會依核決權限來進行審批,在金額多少以上的交易須經過幾人簽核,而在此事件中由於駭客潛伏觀察已久,因此完全掌握並取得相關簽核流程的許可。金天威建議,除了靠IT資訊系統外,在流程中也需要設計非IT的標準作業流程,來做雙重確認,並透過2至3人一起進行稽核。
金融ISAC即將上線啟動
「沒有資安,就沒有FinTech」金管會資訊服務處處長蔡福隆一語道破資安對金融發展的重要性。過去金管會透過各公會制定的各項自律規範加上金融檢查,來審視轄下金融業資安水準。今年一月,金管會還曾以當時幾起重大資安新聞事件對照既有規範,對銀行、證券、壽險等業者進行稽查,現有規範大多能涵蓋事件的問題。
金管會資訊服務處處長蔡福隆表示,金融業應強化更快速偵測事件異常的能力。
談及孟加拉央行攻擊事件,蔡福隆認為台灣金融業應有能力偵測此類攻擊,但仍應強化更快速偵測的能力。根據FireEye調查報告顯示,企業透過警方或CERT等外部單位通知才知遭受APT攻擊者,從入侵到發現平均320天,而有能力自行發現APT攻擊事件者,平均為56天。蔡福隆表示,以現在的駭客技術來說,遭受攻擊在所難免,不需要因此把資安人員汙名化,更重要的是是否具備快速復原的能力,使服務不受影響。
這一連串針對SWIFT的攻擊事件,駭客之所以能屢屢得逞,也與金融業受到入侵後低調保守的態度有關。SWIFT組織稱沒有權力要求會員通報事件,只能鼓勵會員踴躍分享資訊。對此,蔡福隆表示目前規劃中的金融資訊分析分享平台(F-ISAC)預計在106年上線啟動,平台將提供資安預警、資安新聞資訊、事件通報等功能,同時也將與其他資訊分享平台如政府G-ISAC串聯,交流更多資安訊息。
蔡福隆指出,第一階段先透過F-ISAC的建置,串起金融業資訊分享平台,提供資安弱點預警等服務,第二階段則預計引進資安高階技術人力,協助補強金融業在事件回應與處理方面所欠缺的技術能量,並希望漸進帶動金融市場對資安高階技術人才的需求。
孟加拉央行攻擊事件已落幕,但APT攻擊不曾停歇。企業從孟加拉央行的攻擊事件中必須記取教訓,駭客組織除具備攻擊入侵技能之外,還十分熟悉產業作業流程,具有入侵企業核心資產的能力。因此,掌握威脅情資、建立異常即時監控機制、核心應用必採雙因素認證,同時以全新防禦思維來面對APT攻擊,是孟加拉事件給我們的啟示。
觀看上回文章: 孟加拉央行攻擊事件的啟示 – 攻進金融業核心應用