前CIA技術長來臺揭露，美國史上最大駭客攻擊事件大解密

近年來，APT（進階式持續威脅）攻擊事件頻傳，不只有多家大型企業遭駭客入侵竊取機密資料，就連政府部門也頻頻出包，如今年5～6月間美國國稅局和人事 管理局先後爆出嚴重的資料外洩，不只讓10萬民眾稅單遭竊，連政府部門的百萬筆人事資料也都因為駭客攻擊而外洩。而過去曾為美國中央情報局（CIA）效 力，擁有超過30年資安防禦經驗的前CIA技術長Bob Flores近日來臺時，也以這起美國人事管理局資料外洩為例，分享防禦APT攻擊的最新看法。

在今年6月，美國人事管理局坦承因遭網路攻擊而導致近400萬筆公務員資料外洩，然而短短不到1個月，更接連證實有2,100 萬筆的民眾個人資料也同樣遭竊，不只造成的損失危害難以估計，更成為美國政府史上最大的駭客攻擊事件，還導致該局局長黯然下臺。

根據事後調查推估，駭客可能早在2年前便已入侵系統，Bob Flores表示，駭客是透過竊取承包人員的筆電，並使用登入認證滲透到美國人事管理局的系統，來執行惡意攻擊。他認為，造成這起政府資料遭竊事件的原因， 不只包括人為疏失，更重要的是美國政府在資安應變上，遲遲跟不上網路攻擊手法的演進才是關鍵。

以美國人事管理局遭駭這個事件來說，Bob Flores表示，該機構本身只採用如防火牆等傳統防禦方式，無法比對未知的攻擊特徵，也不具足夠防堵惡意攻擊的能力，此外，敏感性的人事資料也未採用加密措施，甚至，在進行遠端存取時也缺乏有效的監控機制。

Bob Flores表示，要提供周全的防護，政府得在資安預算投入更多資源。若以目前企業平均花在資安投資只占IT預算的5%來看，至少得增加至10%才足夠。 他也說：「資安就像是冷氣一樣，使用的不多，但要用時沒有它會非常難受」，而一旦遭遇網路攻擊入侵，造成企業有形或無形損失並不是金錢能估算的。

隨 著APT威脅持續進化，Bob Flores建議，政府和企業在資安防禦策略上必須有新思維，而第一步就是要建立一個專屬的資安事件應變小組（Incident Response Team），來進行包括資安風險管理、網路工程分析和網路防禦等工作。此外，還需配置專門人力負責長期網路活動的鑑識（Forensics）工作，當系統 檢測出有異常網路行為時，小組人員可以很迅速展開調查，將這些網路行為辨識為正常或是惡意行為，才能將潛在惡意攻擊早一步防堵，而不用等到事後被告知才發現，就為時已晚。

除了加強APT攻擊的應變能力外，Bob Flores也認為，政府和企業應持續加強內部的資安教育訓練，不只建立資安文化，更要做到讓每一個階層的主管、員工都具備高度的資安素養，並將資安能力列入評價員工績效的一部分，藉此減少人為疏忽而讓政府或企業門戶漏洞敞開的情況發生。

此外，Bob Flores建議，不同的企業和政府之間更應建立起一個資安情報的共享平臺，可即時傳遞分享最新網路攻擊資訊，並能藉由彼此的合作，發揮出資安聯防的效果，以應付來自全球四面八方的新型態APT攻擊。