資安周報第38期：驚！駭客潛伏臺灣企業5百天

「598天！，這是臺灣企業平均遭駭客入侵潛伏的時間。」趨勢科技臺灣暨香港區總經理洪偉淦在最近一場雲端資安活動上，一開場就揭露了這個驚人的數字。這是趨勢統計臺灣175家企業超過400次遭駭事件後得到的結果。也就是說，駭客平均在企業內部潛伏了至少1年半才曝光。

在這1年半期間，駭客大有時間慢慢等待，逐一摸透企業內部網路、內部系統的漏洞，甚至可以默默等待機會，只要市面上出現了任何一個還未提供修補的零時差（0-Day）漏洞時，駭客可以快速在內部發動滲透，攻入企業核心系統或關鍵系統的網路，取得更高權限來竊取機敏資料。

甚至，洪偉淦透露，臺灣特定產業的災情更慘，遭駭潛伏時間更久，臺灣高科技製造業遭駭潛伏時間平均也多達647天，其中遭駭時間最常的案例，甚至長達4,222天，而政府機關災情也不遑多讓，平均遭駭時間670天，最久案例也有4,174天之久。

換句話說。趨勢科技所發現的這兩家遭駭最久的企業和政府機構，駭客在其內部網路潛伏了超過11年之久。在這11年間，只要企業內部出現任何資安缺口、系統漏洞，駭客馬上就有機可趁，可以為所欲為而不為人知。

這不是臺灣獨有的情況。另一家資安公司FireEye近日也剛發布了最新的亞太區M-Trends報告，FireEye大中華區總經理徐海國告訴我，亞太區企業和政府機構平均則是要520天才會發現自己遭受攻擊，這個數字的全球平均值則是146天。相較於全球，臺灣企業足足晚了一年才會發現自己遭駭。

FireEye的報告指出，光是去年下半年，超過6成臺灣企業都是APT進階網路攻擊的目標，過去2年來，至少有5個APT駭客組織鎖定臺灣企業。

為何駭客潛伏這麼久，沒有人發現？其中一個關鍵因素是駭客已經走向產業化的發展規模，也衍生出越來越精良的攻擊手法和入侵能力。

不只是像過去以炫耀技術、累積自我名聲的孤狼式攻擊，新型態的駭客不是一個人、兩個人，而是一群人，甚至是一個聯合作戰的跨國集團。從這次一銀事件，不只在英國發動攻擊，來臺取款的車手也來自不同國籍，就可見一斑。駭客不只是駭客，而是跨國大型駭客集團了。

另一個對企業更嚴峻的考驗是，過去需要高超技巧的駭客才有能力入侵企業，現在駭客產業化、地下經濟蓬勃的影響下，人人都可以變成駭客，甚至駭客目前最成功的「商業模式」加密勒索軟體，最近還演化成雲端服務，只要付給加密勒索服務50美元，任何人都有能力展開「勒索」事業。

我並非要讚揚駭客如何成功或如何厲害，而是新型態的資安威脅，不只是面對單一駭客、特定病毒或木馬程式的威脅，而是任何一個企業，都得面臨一個黑色產業，駭客帝國式的威脅。誰能檔得住？尤其以中小企業為主的臺灣，大型企業都很難將所有資訊投資都投入在資安防護上，IT支援營運仍舊是第一目標，若以對抗駭客帝國為目標，恐怕沒有一家企業有足夠能力和預算來自保。

過去企業只要顧好自家內部網路、建立權限控管、強化內部防火牆、布建資安監控系統或預警機制、任何一個端點安裝防毒軟體可能就足以具備相當高強度的防護力。但現在的時代不一樣了，在美國聯邦調查局率領25人網路安全小組的FBI督導特別探員Timothy Wallach來臺時表示，根據美國FBI統計，結合了社交工程和電腦入侵技術的釣魚郵件，成了目前駭客最常用的攻擊手法，而高階主管如CEO、CFO和CTO則是這一波主要遭鎖定的對象，甚至國外出現了駭客以老闆口吻和名義來詐財的案例。Timothy實際展示了一封釣魚信件，標題就是Request From CEO，內容第一件事就是下令要求財務長轉帳匯款。

Timothy開玩笑的說，老闆的要求，若是一時不察有詐，誰敢拒絕。就算轉帳不成，若是財務長點開了信件中的連結來確認，同樣也會遭植入惡意程式，成了駭客入侵內網的跳板，潛入之後伺機而動，等待企業內部資安防護網出現破綻，來進行惡意不法行為。

資安防護思維必須改變！企業得先意識到自己「必定遭駭」，來規畫全然不同思維的資安防護措施，如此一來，企業不能再誤以為，靠自己就足以保護自己，同樣也得打團體戰來對抗組織型的攻擊威脅。Timothy Wallach說，這也正是為何FBI會派他來臺灣分享經驗的原因，就連FBI也得設法建立更多資安情報分享的連結。

蒐集威脅情資不只是國家或情報單位才會用到的手法，就連企業也開始需要更快掌握更多關鍵的資安情報。就像過去，你只要築好自家圍牆，顧好自己家裡的安全就夠了，但現在，你所住的社區，附近幾條街得鄰居街坊，發生了任何事情，誰家遭小偷，哪戶被詐騙都得略知一二，才能提前做好準備，將有限的資源針對最有可能發生的資安威脅做好準備，才能讓攻擊者知難而退。文⊙王宏仁