行政院資安會報技服中心主任 吳啟文(攝影/iThome)

觀察臺灣政府當前所面臨的資安風險,行政院國家資通安全會報技服中心主任吳啟文認為,可以先從世界經濟論壇(WEF)列入的科技風險,作為參考指標——在科技風險的排名變化來看,網路攻擊從去年的第六名提升到今年的第三名,資料詐欺或竊盜則從去年的第五名提升到今年的第四名,另外,有一個沒有列入前十名、卻與各國政府資安息息相關的選項,就是關鍵資訊基礎設施崩潰。

為了因應層出不窮的資安風險,他說:「政府去年開始針對G-ISAC轉型成國家級的N-ISAC(國家級資安資訊分享與分析中心),並於今年1月正式運作;預計今年底完成N-CERT(國家級電腦網路危機處理中心),明年則會完成複雜度更高的N-SOC(國家級資安監控中心)。」

臺灣資安威脅型態多變,APT仍是重點威脅

吳啟文指出,APT攻擊過往主要是鎖定政府部門,但到了近期,駭客都關注臺灣發生的重大新聞事件,並利用這些重大事件發送與事件相關的惡意郵件,讓相關的公務部門人員無意之間開啟這些惡意郵件,增加惡意郵件的成功率。

根據技服中心的統計數字,2017年惡意郵件數量大幅降低,甚至出現2017年惡意郵件的數量,是2016年某個月份惡意郵件數量的千分之五的比例,但吳啟文提醒,除了政府對於這類惡意郵件的防禦有成效之外,更值得觀察的是,駭客鎖定的APT攻擊目標,已經更精準且手法更複雜,並不能掉以輕心。

如果更進一步追蹤並分析駭客攻擊行為,吳啟文指出,技服中心觀察駭客所使用的中繼站,已經出現變化——早期是使用一般個人電腦與伺服器,植入後門程式之後,便遠端操控桌面軟體進行控制;中期則以網路設備包括路由器為主,透過內建VPN功能,將流量轉到上層的主控端;近期則以雲端服務短期租用為主,透過快速更換對應網域方式,可以規避各種資安產品的偵測,往往也造成追查駭客來源的困難度。

吳啟文表示,現在許多駭客都會利用共用性系統與雲端服務,作為入侵的管道。首先,鎖定單一公務機關或委外廠商的電腦,作為發動APT攻擊的灘頭堡;其次,入侵包括AD(目錄服務)伺服器, 竊取內網的通行證;緊接著,駭客可能竄改共用性系統軟體的共用機制,滲透共用性系統;然後,駭入使用共用性系統的公務人員電腦,進行跨機關的全面滲透;最後,則是進行資料的竊取,目標是儲存在公文、檔案系統和資料庫,甚至是雲端硬碟的重要機敏資料,並對外回傳給駭客組織。

吳啟文也以去年政府部門實際爆發的資安事件,來說明相關狀況。他指出,網頁攻擊事件數量最多,超過四成(40.21%),爆發資安事件的原因,依序是網站設計不當、應用程式漏洞,以及採用弱密碼等因素。但可惜的是,許多政府機關都沒有保留完整的記錄檔(Log),以致於無法確認資安事件真正發生的原因。他也說,若分析這三年政府機關資安事件的發生原因,應該可以發現,部分受駭的設備類型,已經轉成物聯網裝置。

根據技服中心統計,去年政府機關遭駭的管道,最多就是透過網站伺服器入侵,就發現駭客組織ifactoryx利用沒有修補的網站漏洞,攻擊臺灣34個政府機關網站,進行網站的網頁置換,總計有44網站受駭。

而基於資安業者的調查發現,這些受駭網站都使用舊版的網頁編輯器Fckeditor,而駭客就是利用Fckeditor漏洞發動攻擊。吳啟文表示,系統業者協助政府機關單位從舊版Fckeditor,升級到新版CKEditor 4.6.2,並於官網提供漏洞修補資訊,讓其他沒有維護合約的機關可以從官網,自行下載漏洞修補檔案;另外,為了確保安全,也協助移除Fckeditor檔案上傳功能的套件與調整設定;網站若有上傳檔案需求時,則限制檔案類型,並針對該目錄,移除執行檔案的權限,避免駭客上傳惡意程式並且執行。

資安是機關風險一部分,從PDCA著手資安防護

「資安管理是一個PDCA的循環,」吳啟文表示,資安是機關風險的一部分,應將資安認知提升到全機關單位,並透過資安治理的模式,提升對資安的正式程度。而根據2017年到2020年制定的資安發展藍圖來看,為了達成打造安全可信賴數位國家的願景,我們需要達到幾個目標,例如:建構國家資安聯防體系、提升整體資安防護機制,以及強化資安自主產業研發。

他也進一步指出,在政府資安績效指標的達成上,以完備資安基礎環境。若要做到這一點,除了需完成資安管理法的立法程序,以及建立IoT資安檢測環境,並且推動安全認證標章外,最重要的就是,建立政府資安治理模式,推動政府機關資安治理成熟度自評,或第三方評鑑,就可以達到第三級(Level 3)指標。

在建構國家資安聯防體系的目標上,需要循序漸進。例如,先建置關鍵基礎設施領域的ISAC、CERT以及SOC,然後進一步提升到完成跨域資安聯防體系,建立國家級的N-ISAC,並於今年1月執行,年底會完成N-CERT的建置,預計明年完成N-SOC,並建立地方政府區域聯防體系;此外,也要精進網路犯罪防制能量,除了要提升數位鑑識能量外,同時,要建構跨域追查的環境。

而在推升資安產業自主研發能量時,更關鍵的部份,是能夠提供試驗場域,提升臺灣資安產業自主研發能力,並推動將臺灣資安產品納入共同供應契約規範,並將臺灣自主研發資安產品的使用率,從既有的三成多提升到五成,而且,也要建立並推動資安產業標準及檢測與認證、驗證機制,並結合產學研的研發能量,發展臺灣自己資安關鍵技術,希望臺灣資安產業產值可以達到550億元。最後,在孕育優質資安人才,除了鼓勵大專院校增設資安課程或專班,以系統化、制度化方式培育資安人才外,更希望政府機關可以設置專職的資安人力,最終可以建立千人資安應變小組。

吳啟文認為,政府在資安防護的作為上,透過長期監控與外部情搜發布警訊,做到早期預警;接著,推動政府組態基準(GCB),納入網通設備與Linux系統,並在網站與系統的開發,納入安全的軟體開發生命周期(SSDLC),讓政府機關所使用的資訊設備與端點系統,可以制定一致性的安全設定,以降低駭客入侵的管道與可能性;透過資安事件通報應變機制,協助受駭機關事件復原、緊急應變處理,可以在最短時間內恢復系統運作;也同時透過資安情搜與分析威脅樣態,交叉分析各種資料,希望可以挖掘潛在威脅並進行通報處理,以掌握攻擊手法與趨勢。

關於政府資安的防護,他也提出建議,認為能夠從廣度、深度和速度三個面向著手。在廣度的作為上,政府可以透過資安旗艦計畫,以及前瞻基礎建設等兩大專案計畫,重新建構政府機關基礎設施,並打造地方政府區域治理資安聯防體系,同時,可以結合大數據分析和人工智慧(AI)技術,預測資安攻擊趨勢;深度的部份,則應強化內網與外網的縱身防禦作法,並擴大資安稽核與技術檢測,可以主動挖掘問題、改善問題;最後,在速度上,則藉由制定各種資安計畫與落實資安應辦事項,提升資安事件偵測及反應速度,並且透過資安通報與各種網路攻防演練,增加資安事件應變速度。


Advertisement

更多 iThome相關內容