根據世界經濟論壇(WEF)的2018全球風險報告顯示,若依發生機率高低排序,「網路攻擊」為第三大風險,僅次於極端氣候事件、天然災害。究其主因,在於網路攻擊從以往的事故(Incident)變成常態,衍生的財務衝擊持續增加所致;另值得一提,包括關鍵基礎設施或策略產業,都逐漸淪為網路攻擊標的,恐癱瘓社會運作機制,釀成嚴重災情。

由此看來,資安已是不分國界、世人皆應共同面對的嚴峻議題,為此果核數位在日前舉辦一場以「國際資安威脅與戰略攻防要素」為主題的資安社群論壇,意在從國際視野來解讀資安威脅趨勢,同時分享政府的資安推動策略、資安事件案例,期望引領有志投入資安發展的青年學子,得以拉升戰略高度,擅於綜覽不同構面做全盤考量,制定最完善的網路安全戰略。

果核數位在總經理丁瑋明主導下,近年來積極推動資安社群論壇活動,希冀藉由資安相關實務經驗與技術的傳承,幫助青年學子充實資安知識與技能,從理論接軌實務,為臺灣培育更多資安人才。

洞察全球威脅趨勢,制定有效防護策略

行政院國家資通安全會報技術服務中心主任吳啟文,率先於論壇發表演說,闡述資安威脅趨勢及防護策略。他指出資安不宜無限上綱、必須從風險管理做起,要想做好防護,關鍵第一步便是洞察全球資安威脅趨勢,當前值得留意的趨勢有六項,分別是進階持續(APT)威脅攻擊竊取機密資料、分散式阻斷服務(DDoS)攻擊癱瘓網路運作、物聯網(IoT)設備資安弱點威脅升高、關鍵基礎設施(CII)資安風險倍増、網路與經濟罪犯影響電子商務與金融運作,及資安(訊)供應商持續遭駭破壞供應鏈安全。

受到前述國際風險的影響,也讓臺灣政府蒙受諸多資安威脅,除了有設備微型管理不易、模式翻新應變不易、社交工程防不勝防、認知不足警覺不夠、駐外機構管管理不易等痛點外,舉凡IoT資安風險與日遽增、技術更迭快速不易掌握資安威脅、資安自主能力待提升,及資安人才供不應求等,都一一成為棘手難題。

綜觀近3年政府機關資安事件,皆與網站設計不當、應用程式漏洞及弱密碼等三大因素息息相關。例如駭客組織ifactoryx曾攻擊34個政府機關網站、進行網頁換置,只因受害網站都採用相同網站管理系統,承襲舊版Fckeditor網頁編輯器帶來的漏洞,讓駭客有機可乘;政府機關設置於路口、公園及停車場等區域的網路攝影機,多因未設置密碼或使用預設密碼,以致遭植入惡意程式;某機關門禁控制系統未限制存取權限,且放置於對外網路,導致駭客利用於挖礦活動。

吳啟文表示,因應接踵而來的威脅,政府早在民國90年開始推動資安機制計畫與發展方案,至今邁入第五期,以「打造安全可信賴的數位國家」為願景,箇中蘊含完備資安基礎環境、建構國家資安聯防體系、推升資安產業自主能量、孕育優質資安人才等四大推動策略。為落實這些策略目標,政府不僅制定資通安全管理法,亦致力打造資安治理架構、執行網路攻防演練、落實資安稽核、構築國家資安聯防體系、加強國際資安合作交流。

決勝網路戰,不只靠技術、更要看戰略

中正大學戰國所助理教授林穎佑,嘗試從戰略面的思考來探究資安議題。他首先強調,法規面必須跟隨科技而與時側進,否則易出現矛盾空間,使駭客更有上下其手的機會。所謂資安作戰,乃是網域空間的競逐,儘管此空間看不見也摸不著,但可怕的是,由此衍生的作戰能力,已從虛擬走向實體,足以癱瘓核電廠、淨水場的運作,更有甚者還可透過假新聞操作,進一步影響群眾心理。

具體來說,以網域為主的資安戰略,明顯超越傳統,只因它具有超越地緣限制、具有完全匿名性、作戰的不對稱(以小搏大、以弱擊強)、攻擊易於防守等特性,連帶突顯兩個重點,其一是過去的法規不再適用,另一是落實資安不僅靠安全技術,還須帶入全新的安全管理概念。

談及攻擊類型,第一個值得關注的標的為「網路間諜」,是以政府國家利益為目標的情報戰,主要攻擊對象有政府機關、重要智庫或軍工產業;其次是「網路戰」,涵括竊取、騷擾、癱瘓到破壞等手段,最典型的事件即是發生於2013年的「黑色首爾」;再者是「網路犯罪」,背後動機正是「唯利是圖」,通常搭配黑色產業鏈的技術、社交工程等資源而發動攻擊,勒索加密軟體便是一例。

林穎佑重申,網路戰已邁入世代演進,除人們已熟知的騷擾(換置網頁)、竊取情報外,還加上了APT、癱瘓與「制腦權」(假新聞與假訊息的第五代戰爭),更令人防不勝防。因此一個完整的國家資安戰略,必須包含法規、組織與人才等構面,且須透過國防的角度看待資安,才不會將格局做小。

總括而論,面對現今全無地理空間限制、敵人完全匿蹤,又有黑色產業鏈撐腰的網路戰,人人皆應建立更完整的資安認知,唯有對於從頭到腳、從上到下、從虛到實到心理等等攻擊脈絡的通盤理解,才能制定出好的攻防策略,絕非建置幾套防禦工具便能克竟全功。

若大家有興趣獲取論壇資訊,可加入果核粉絲團: 

行政院國家資通安全會報技術服務中心主任吳啟文與中正大學戰國所助理教授林穎佑(左)


Advertisement

更多 iThome相關內容