前美國五角大廈資安官：臺灣是亞洲第2大APT重災區

近2年屢屢發生重大網路攻擊事件，甚至還有出現多起由國家出資發動的網軍攻擊，包括中國、伊朗、北韓、俄羅斯，以及另一股新興勢力敘利亞，目前都在積極培養網軍作戰的能力，使得全球網路資安戰爭走向白熱化。而過去曾擔任美國五角大廈資安官、現任FireEye副總裁暨全球政府業務部門技術長Tony Cole，近日來臺時也揭露臺灣APT攻擊的最新趨勢。

鎖定亞洲國家發動APT攻擊，臺灣排第2

根據FireEye最新報告顯示，臺灣去年下半年已成為亞洲地區遭遇APT（進階式持續攻擊）威脅最多的國家之一，僅次於香港，名列亞洲第2，更一舉超越了韓國，超過半數的臺灣FireEye企業客戶，半年內曾遭受網路攻擊，反映出臺灣近年來已成為駭客攻擊的首要目標。

Tony Cole表示，這些鎖定臺灣發動的APT攻擊，部份來自國家機構發動的網軍攻擊，且大多都是由中國策畫發動，藉此獲得經濟上的利益，他也說，這些網軍部隊很大特性是進入門檻很低，只要有一臺電腦和網路，就可以進行攻擊滲透。

而在組織犯罪方面，Tony Cole說，多數則針對醫療產業的APT攻擊，將近2成5的比例鎖定醫療業者做為攻擊目標，透過竊取醫療或健保資料，從事不法的利用，同時也有2成比例針對政府機構及電信商發動的攻擊。

Tony Cole依長期以來的觀察指出，駭客從事APT攻擊一般分為5個階段，包括初期入侵（Initial Compromise）、竊取憑證（Credential Harvesting）、水平擴散（Lateral Movement）、遠端存取（Remote Access）以及數據外洩（Data Exfiltration）。他認為，要成功阻止駭客攻擊，最重要的是在初期入侵的第一階段才可有效防堵，一旦當入侵成功後，駭客就會透過加密管道或使用正常工具，來取得機密資料，而難以偵測得到。

Tony Cole也說，曾看過一名駭客入侵系統竊取資料，過程只需短短7分鐘就完成，反觀若要企業或政府機構察覺，已遭駭客入侵，平均得花上205天。而這段期間，也被他稱之為防禦空窗期，駭客可暢通無阻在企業或政府內部取得任意資料。甚至，當中也有近7成（69%）企業還是因為第三方機構，如執法機關通知才得知已遭駭客滲透。「這也代表很多企業直到現在仍缺乏自我檢測的能力。」他說。

有漏洞就一定會遭攻擊

靠著多年全球資安事件調查的經驗，Tony Cole指出，當企業面對APT威脅時，必需先假設，企業網路如果存在有漏洞或弱點，就一定會被滲透，而且無一倖免，如此才有辦法及早阻止受駭災情擴大。

不過面對敵我攻防戰力的差距，Tony Cole不認為企業就會一面倒的打輸這場戰爭。他說，已經有看到越來越多國家機構或企業，開始意識到資安重要性，並改變了資安策略或升級基礎設施來找出網路駭客攻擊的蛛絲馬跡，加以阻斷，像是遭遇到駭客入侵，也能夠在很短時間內加以辨識後，迅速找到攻擊的源頭。

因此，比起將這些網路攻擊通通堵在門口，Tony Cole反而認為企業得建立新的資安觀念，例如分析惡意程式的特徵或IP等找出攻擊來源，同時運用智慧威脅技術來阻斷攻擊，另外也透過即時自動分享，在政府和企業，以及政府與政府之間，建立起資安聯防和分享管道。

面對駭客組織規模和攻擊複雜度急劇增長，Tony Cole也建議臺灣政府除了持續監控惡意攻擊行為外，更重要是建立一套自動通報的分享機制，一旦政府部門發現這些入侵行為，能透過通報平臺，很快將攻擊資訊傳遞出去，好比說，會攻擊外交部的駭客，也可能轉而攻擊國防部。此外當企業遭遇到駭客入侵時，也能以匿名方式分享威脅資訊。

他更進一步表示，政府最終要對抗的不是這些惡意程式或病毒，而是潛藏在病毒身後的幕後攻擊者，因此，資安政策也得具有彈性，根據不同的攻擊狀況來分配調度。

不過，Tony Cole也認為，2015年發生大規模破壞性攻擊的比例將會攀升，例如，駭客掌握了重要的基礎設施發動毀滅性攻擊等。此外，未來國與國之間發動的網軍攻擊，亦將扮演更重要的軍事角色。而受到之前發生大量零售業資料外洩的影響，他同樣認為鎖定POS銷售系統的惡意攻擊，將會在2015～2016年有持續增長的趨勢。

相關報導請參考：「臺灣資安大會現場直擊」