網路數位戰方興未艾 駭客攻擊三種級別

(KPMG安侯企業管理(股)公司董事總經理謝昀澤。圖/KPMG提供)

KPMG安侯企業管理(股)公司董事總經理謝昀澤分析,國際網路駭客集團化運作已經多年,約略可分爲以網路正義爲號召,企圖癱瘓特定網站的「社團級」;以攻擊取得財務利益爲目的,偷取機密或勒索公司的「商業級」;及有政府爲後援甚至指揮的「網軍級」駭客集團。

俄羅斯與烏克蘭的戰爭方興未艾,過往傳統戰爭通常是「三軍未發、糧草先行」,而現代戰爭卻是「糧草未至、網戰已啓」。

謝昀澤表示,其實臺灣每天都在面臨網軍級駭客的攻擊,無硝煙的戰爭早已開打多時。網軍級駭客有能力發動網路數位戰爭,而目標通常就是油水電關鍵基礎設施、高科技廠商與國家政府機關等「灘頭堡」。其中又以俄羅斯、以色列等國家網軍,曾多次癱瘓敵國核電廠、水庫等,最爲知名。

KPMG資安實驗室副總經理林大馗說明,俄羅斯駭客參與大規模有計劃性的入侵臺灣企業行動,應該從2016年金融ATM被駭事件開始。

林大馗表示,依過去幾年與俄羅斯駭客交手的經驗,這羣來自「戰鬥民族」的駭客,除了與其它國際駭客集團同樣偏好針對含金量高的系統,進行進階持續性攻擊(APT)、分散式服務阻斷攻擊(DDoS)外,還有一些「俄行俄狀」的特徵,例如攻擊在地化、部署超前化、媒宣壟斷化。

所謂攻擊在地化,主要是應用網路無國界的特性,國際駭客經由網路共通的通訊協定、程式及系統漏洞等方式,可以在不同的國家地區橫行無阻。但這羣俄羅斯駭客,能入侵防護嚴密的高端系統,或偷取更敏感的機密資料,還具備「攻擊在地化」的研究能力。例如聘專人研究臺灣使用者電腦獨有的「注音輸入法」,就知道ji32k7au4a83這段在一般人看起來無意義的英文,是「我的密碼」的注音鍵盤符號,也是許多臺灣系統管理者所喜歡的密碼。

其次是部署超前化,利用不爲人知的零時差漏洞,結合精準式的魚叉式釣魚手法,突破實體網路隔離的限制,安裝惡意程式並長期潛伏,等待適當的時機發動突襲。此外,一般駭客於攻擊成功後立即揚長而去,而俄羅斯駭客不但會自行清理戰場,抹除入侵的軌跡,更會留下一個或多個後門,方便後續再次繼續使用。

第三則爲媒宣壟斷化。俄羅斯駭客常藉由癱瘓官網、重要基礎服務、或利用社羣媒體散佈假訊息,利用不對稱資訊影響民衆對政府或企業的信心,或造成所謂的「帶風向」效果,意圖製造混亂並增加處理的困難度。

林大馗建議,臺灣企業可以透過即時更新系統、加密機敏資料、監控組織內部網路流量與使用者行爲、不要仰賴單一品牌設備、不要信任網路隔離等重點,自行或委外快速檢視與評估組織的資安曝險程度。

以即時更新系統而言,幾乎每天都會有新的作業系統、網路設備的弱點被髮掘通報,維持系統的最適更新,將有助於減少被駭客攻擊成功的機率。

在加密機敏資料方面,近期常見國際企業內部網路被駭客攻破後,機敏資料遭受竊取並被公開。建議可透過防止資料外泄的解決方案,加密機敏資料,讓駭客拿的到、也打不開。

另也需監控組織內部網路流量與使用者行爲,過去企業信任組織內部網路,而不去監控是否有異常流量。近期國內外重大資安事件經驗顯示,透過監控並識別是否有異常內部流量,可有效強化組織整體網路安全。

而另一大重點是切勿仰賴單一品牌設備。組織採用單一品牌網路防護設備,雖便於管理,但若未能及時進行弱點修補,也提供了駭客長驅直入的機會。合理的多層次縱身防禦,纔是符合安全的部署方式。

最後則是切勿信任網路隔離。在國內外發生的資安事件顯示,如煉油管路、POS系統與金融關鍵系統等,過去都信任網路隔離,而未對該類型網路強加管控,建議可透過如零信任架構、網路視覺化與異常監控的措施,針對敏感系統與設備進行監控。

謝昀澤提醒,資料外泄、網路財務盜失、系統停用,是傳統的資安事件常見的損失;而現代的網路攻擊大戰,造成大規模停水停電、金融服務與供應鏈嚴重斷鏈、甚至數位與實體戰爭結合,已經是新現實,如何偵測、預防、防禦及迴應這些接踵而來的資訊風險,更是數位國家與企業,共同要面對的課題。