美國最大燃油供應業者Colonial Pipeline在2021年5月初遭勒索軟體攻擊,暫停所有輸油管線運作,不僅該國能源部(DOE)宣布進入緊急狀態,更造成油價攀升6年新高。同時,2020年12月爆發的太陽風(SolarWind)供應鏈駭客攻擊事件,也造成美國政府機構重要資料面臨最廣最深的危害。這些案例都警惕臺灣公、私部門應重視資安問題,並將資安實際落地,避免未來遭受駭客攻擊造成更大的衝擊。
觀察全球駭客攻擊強度不斷增加,漏洞偵測工具也持續更新,臺灣不只企業已發生資安問題,駭客非法入侵政府機關資安事件比率也逐步升高。臺灣廠商只要身為供應鏈的一環,或是影響甚鉅的關鍵基礎建設,皆應重視資安防護,並可從員工自攜裝置BYOD(Bring Your Own Device)、建置白名單機制來備戰。
其實駭客病毒攻擊類似新冠病毒需有媒介,最常見的即是透過網路,或是人員的隨身裝置。在軟硬體相互網路通訊溝通的過程,駭客找尋弱點後「散播」病毒,此時病毒仍會持續「潛伏」,直到發現有利可圖的關鍵資料時,才會伺機「發作」。
留意員工自攜裝置 虛擬桌面可防護
根據行政院國家資安會報技服中心報告指出,2021年第1季偵測到多個機關的連線環境,易受到鍵盤側錄惡意程式連線側錄,竊取使用者電腦資料,或部分機關因隨身碟無意間散播惡意程式,導致裝置中毒。駭客透過人員的隨身裝置如手機、NB甚至是USB等,經由有毒網址或網站、釣魚信件等管道植入病毒。
若要防杜病毒從自攜裝置BYOD這類管道入侵,可透過設置虛擬桌面基礎架構,或虛擬行動桌面服務來解決。簡單來說,就像是Netflix等應用程式,使用者無需下載,透過雲端就能直接使用其服務。舉例來說,工研院研發的虛擬行動桌面概念為App to App的方式進行通道連線,無須開放整個網路或主機,加上中央控管機制,可記錄和監控使用者操作行為,發現非法存取時,可從伺服器端中斷連線。
另一方面,若是網路端的攻擊,現行普遍使用防毒軟體打造防火牆也一樣有效,但隨著駭客漏洞偵測工具不斷新增,攻擊手法如加密等也不斷精進,資安漏洞未來只會持續增加、防不勝防,因此美國近年提倡零信任的概念,未來還將提出零信任戰略。
軟硬體執行零信任 應用程式白名單來相助
所謂零信任安全,是要求每個資源使用控制權限都有明授予的特權,其本質上與基於白名單的資安設計類似,後者僅允許那些清楚列舉的操作行為,而對於其他操作行為概不允許。當應用於企業安全性時,白名單型資安設計,要求資安系統設計人員精準完整地列出,誰能在哪些情況下使用何種資源。
工研院也有研發所謂的應用程式白名單,建置保護機制,能夠攔截除錯相關的系統呼叫、卸載指定驅動程式等行為,確保白名單防禦機制能夠正常運作,避免遭到惡意軟體關閉進而失去防護效能。甚至能讓惡意軟體無法得知作業系統是否有此保護機制的存在,在低運算成本條件下完成防禦建置。
儘管概念上相單簡單明瞭,但當實際應用在保護現實世界的企業網路和系統時,白名單型資安系統產生許多實際的實作障礙,包括如何輕易但準確地列出任一企業網路所允許的資源訪問操作行為,以及在系統不斷演進的狀況下隨時更新白名單。因此,此類技術應用仍有限制,適用在「固定功能」的裝置或載具,例如可在車聯網及金融、國防、關鍵基礎設施等機敏服務平台安全防護。
整體來看,降低資安風險,更需積極主動防守,除了上述兩大關鍵以外,廠商、機構也可針對IT系統分區分層,降低電腦被攻擊機率,同時,固定每月「大體檢」檢視資安環境,且新業務增加電腦、軟體,或網路重布建等IT環境出現變化時,須重新檢討。唯有主動重視落實資安防護,才能降低未來被攻擊的機率、被攻擊的範圍,也能讓臺灣資安產業有發展的新機會。
(本文由工研院資訊與通訊研究所所長闕志克授權轉載)