圖片來源: 

周峻佑攝

論及關鍵基礎設施,許多人可能會先想到與民生需求相關部分,像是供應油、水、電力的單位,一旦遭受攻擊,便會嚴重影響社會整體功能的運作,並且造成人民的財產損失,甚至是重大傷亡。然而,不只有形的關鍵基礎設施受到駭客覬覦,對於一般民眾獲得重大資訊的管道,也成為攻擊者下手的主要目標。趨勢科技資安研究群核心技術部資深協理張裕敏(Ziv)認為,接下來的2年內,散播假消息或是假新聞的攻擊手法,將會更加氾濫,因此,在2019臺灣資安大會之前,該公司於3月18日舉辦的媒體團訪中,張裕敏特別以關鍵基礎設施遭受攻擊為題,探討所帶來的影響與因應之道。

到底關鍵基礎設施遭受攻擊會帶來的影響會有多嚴重?張裕敏以最近傳出疑似遭受網路攻擊導致大停電的委內瑞拉為例,供應該國8成電力的古里(Guri)水力發電廠出現異常,使得委內瑞拉全國頓時陷入了大停電,但至今原因仍然不明。

委內瑞拉大停電發生之後,隨之而來的是公部門與醫療院所停擺,民眾也因馬達無法運作,導致沒有水可用;再者,冰箱內的食物只能任其腐敗,但即使當地居民想要購買食物,由於收銀機不能使用,商店交易竟要求以美金交易,上述的情況,隨著該國一個多星期電力時好時壞,變得更加惡化,嚴重影響該國人民的民生。此外,該國總統馬杜洛(Nicolas Maduro)直指反對派與美國是主謀,這起停電還引發美國和中國之間的政治角力。

攻防不對等,駭客攻擊關鍵基礎設施門檻極低

張裕敏指出,光是水利設施遭受攻擊,自西元2000年至今,可說是不斷發生,他也舉出了近年來多起發電廠、石油公司等,被駭或是遭到控制的事件。

然而,一如現今的資安情勢攻防不對等,張裕敏說,無論駭客需要作案工具、攻擊手法、可利用的漏洞,乃至於尋找目標,都有現成的資源可用。

以作案工具而言,駭客在GitHub上,就能取得Industrial Exploitation Framework等軟體;而攻擊手法的部分,ICS ATT&CK Matrix則提供了各式能運用的方式;由於許多關鍵基礎設施裡的設備缺乏定期安裝修補軟體,駭客可以從美國的ICS-CERT,找到已經被公開的漏洞;最後是攻擊目標的部分,攻擊者可從物聯網搜尋引擎Shodan找尋,甚至這個搜尋引擎還分門別類,能讓駭客尋找指定廠牌的設備下手。

媒體、金融、網路基礎設施成攻擊者的新目標

針對關鍵基礎設施的範圍,張裕敏說,其實相當的廣泛。他引用了我國行政院《國家關鍵基礎設施安全防護計畫指導綱要》的定義,不光是水資源和能源,還包含了政府機關、高科技園區、金融單位、醫療院所、交通,以及通訊傳播等方面。因此,雖然許多能源設施受到駭客攻擊,是與工業控制的操作科技(OT)安全有關,但其實與大眾「知」有關的通訊傳播,也同樣面臨嚴重的威脅。

上述的8大類型關鍵基礎設施中,通訊媒體與其他型態所面臨的攻擊,相當不同。張裕敏指出,針對這種類型的關鍵基礎設施攻擊,駭客可能會針對電視臺、網路媒體,以及社群媒體下手之外,其實最容易聽到的,莫過於所謂的假新聞、假資訊,藉由資料再加工的作法--例如張冠李戴、過度解讀等,進而操控特定資訊,不只可能會導致錯誤決策,還會造成大眾的恐慌,甚至是引發民眾對政府的不信任危機,換言之,後續帶來影響程度最廣泛的,其實是這種通訊傳播基礎設施威脅。近期影響最大的事件之一,就是2016年美國總統大選期間,出現了大量濫發假消息的推特帳號。

由於這種攻擊會摧毀人民對於政府的信任,因此包含臺灣在內的許多國家,都打算祭出相關的法規,但是,新聞媒體和社群網路的內容,又牽涉到人民的言論自由,各國政府想要加以防範假消息的推波助瀾,就變得更加困難。

再者,張裕敏指出,金流與網路基礎設施,也是駭客近期下手的重要目標。前者駭客可鎖定後端的資訊系統或ATM,使得無法正常交易;由於現代人幾乎不能沒有網路,因此從DNS、路由器、無線網路、4G或5G網路下手,也成為駭客入侵、竊取隱私,或是進行詐騙的管道。

至於因應關鍵基礎設施攻擊涉及範圍如此廣大、駭客又容易發動攻擊的情勢,張裕敏則提出了心法,包含了關鍵基礎設施單位與一般民眾的層面--針對上述的單位而言,他認為要參考各國所制訂的綱要、指引文件,還有防護的措施,並且尋求資安公司的協助等,進而強化資訊安全;而對於一般民眾而言,若是能在發現不尋常的現象時,提高警覺,並進行通報,或許可以阻止一場攻擊關鍵基礎設施的事件。

張裕敏舉例,像是臺北市的智慧公車站中,可能預備了提供維護所用的USB埠,若是發現有不明人士連接了USB隨身碟,民眾通報警方到場關切,很可能就避免了這類交通系統遭受入侵的情況。


Advertisement

更多 iThome相關內容