圖片來源: 

趨勢科技

近年來,APT(進階式持續威脅)攻擊事件頻傳,不只有多家大型企業遭駭客入侵竊取機密資料,就連政府部門也頻頻出包,如今年5~6月間美國國稅局和人事 管理局先後爆出嚴重的資料外洩,不只讓10萬民眾稅單遭竊,連政府部門的百萬筆人事資料也都因為駭客攻擊而外洩。而過去曾為美國中央情報局(CIA)效 力,擁有超過30年資安防禦經驗的前CIA技術長Bob Flores近日來臺時,也以這起美國人事管理局資料外洩為例,分享防禦APT攻擊的最新看法。

在今年6月,美國人事管理局坦承因遭網路攻擊而導致近400萬筆公務員資料外洩,然而短短不到1個月,更接連證實有2,100 萬筆的民眾個人資料也同樣遭竊,不只造成的損失危害難以估計,更成為美國政府史上最大的駭客攻擊事件,還導致該局局長黯然下臺。

根據事後調查推估,駭客可能早在2年前便已入侵系統,Bob Flores表示,駭客是透過竊取承包人員的筆電,並使用登入認證滲透到美國人事管理局的系統,來執行惡意攻擊。他認為,造成這起政府資料遭竊事件的原因, 不只包括人為疏失,更重要的是美國政府在資安應變上,遲遲跟不上網路攻擊手法的演進才是關鍵。

以美國人事管理局遭駭這個事件來說,Bob Flores表示,該機構本身只採用如防火牆等傳統防禦方式,無法比對未知的攻擊特徵,也不具足夠防堵惡意攻擊的能力,此外,敏感性的人事資料也未採用加密措施,甚至,在進行遠端存取時也缺乏有效的監控機制。

Bob Flores表示,要提供周全的防護,政府得在資安預算投入更多資源。若以目前企業平均花在資安投資只占IT預算的5%來看,至少得增加至10%才足夠。 他也說:「資安就像是冷氣一樣,使用的不多,但要用時沒有它會非常難受」,而一旦遭遇網路攻擊入侵,造成企業有形或無形損失並不是金錢能估算的。

隨 著APT威脅持續進化,Bob Flores建議,政府和企業在資安防禦策略上必須有新思維,而第一步就是要建立一個專屬的資安事件應變小組(Incident Response Team),來進行包括資安風險管理、網路工程分析和網路防禦等工作。此外,還需配置專門人力負責長期網路活動的鑑識(Forensics)工作,當系統 檢測出有異常網路行為時,小組人員可以很迅速展開調查,將這些網路行為辨識為正常或是惡意行為,才能將潛在惡意攻擊早一步防堵,而不用等到事後被告知才發現,就為時已晚。

除了加強APT攻擊的應變能力外,Bob Flores也認為,政府和企業應持續加強內部的資安教育訓練,不只建立資安文化,更要做到讓每一個階層的主管、員工都具備高度的資安素養,並將資安能力列入評價員工績效的一部分,藉此減少人為疏忽而讓政府或企業門戶漏洞敞開的情況發生。

此外,Bob Flores建議,不同的企業和政府之間更應建立起一個資安情報的共享平臺,可即時傳遞分享最新網路攻擊資訊,並能藉由彼此的合作,發揮出資安聯防的效果,以應付來自全球四面八方的新型態APT攻擊。


熱門新聞

Advertisement