擔心勒索病毒或機密情資外洩? 企業或機構首要任務是加強內網防禦

儘管2020年一開始新冠肺炎疫情爆發造成全球人心惶惶，但絲毫沒有影響駭客的進攻行動，全球大大小小企業資安事件頻傳，合勤集團董事長朱順一博士指出，癥結點主要歸咎於企業或機構內的內網防禦沒做好。通常企業的資安設備與對策是做邊界防禦，如防火牆、防毒、郵件過濾等，主要在防止駭客威脅或惡意程式進到機構內網。邊界防禦是必要也能擋掉大部分的攻擊，但對於防禦APT進階持續性滲透攻擊 (Advanced Persistent Threat)這種持續且針對性的攻擊是不夠的。APT通常是一個專業的駭客團隊，甚或是國家組織，經常性的或長時間的對一個鎖定的目標機構進行探索攻擊，終能藉由找到漏洞或利用惡意社交工程郵件或陷阱式網站誘引成功而進到一個目標機構的內網。如果沒有有效的全面內網防禦，駭客就可遂行偷竊資訊或破壞勒索的任務。

所謂駭客進到一個機構內網就是它送了一個可受其遙控的惡意程式(通常稱為木馬程式)落地到機構內網的某一電腦上，比如一個誤點了社交工程郵件員工的電腦。木馬程式可探測周圍網路環境並移動到想去的地方，可側錄使用者的帳戶與密碼並利用來提升其執行權限，可竊取資訊並打包往外送，也可移動散佈並執行破壞勒索。

木馬的攻擊與造成的損害有很多不同類型，包括：

1. 偷竊政府機構或廠商的機敏資訊為其所用。這種情形駭客是盡量不留痕跡，不驚動也不聲張，長期持續的偷資訊；被偷的通常不知覺，即使事後發覺也不聲張就沒人知道，但損害是很巨大的，比如國家或商業機密被竊。政府級的駭客部隊專門從事此項工作，像美國上次大選時民主黨內電郵被竊就是極少因竊取的資訊對外使用而爆發為外界所知的例子，最近總統府的資訊外洩也是例子。

2. 偷竊廠商的客戶個資尤其是包含信用卡資料的個資，販賣以對客戶進行詐騙或盜刷，在現在各國的個資保護法下，廠商對個資外洩所負賠償與罰款責任是很大的，像國泰航空950萬筆與萬豪酒店集團五億筆客戶個資外洩都是例子。

3. 竊取廠商或銀行與客戶的通聯資訊，仿冒客戶騙使銀行或廠商對其帳戶匯款，最近一起國銀海外分行被詐騙即是例子。

4. 竊取通聯資訊，仿冒內部或外部通聯對象發電郵向目標詢問或要求機密資訊或發電郵送木馬給目標，此電郵就是所謂的社交工程郵件，難辨真假，因信是從其認識的通聯對象發的，談的是相關的事。如駭客仿董事會秘書重發一次董事會提醒通知給所有董事，同時也把木馬發給所有董事。

5. 直接以轉帳或ATM吐鈔方式盜取銀行金錢，國內的一銀與遠銀曾發生此類偷盜。

6. 隱藏潛伏在機敏設施，在戰時或必要時控制破壞癱瘓其設施，美國和以色列對伊朗的核設施是直接進行破壞，可怕的是被潛伏的是不知覺。

7. 在內網散佈勒索病毒，癱瘓運作並進行勒索，WannaCry是著名的例子，國內已陸續有大型機構深受其害，如最近的中油。

一般機構和廠商只對會外顯的破壞或損失才在意，如網頁破壞、癱瘓外網的飽和攻擊或癱瘓電腦的勒索病毒，但事實上各種內部資料被偷都會造成巨大損害，而防禦都是一樣的，也就是要做好內網防禦。所謂內網防禦就是在木馬落地、回報、探測、潛伏、移動或提權各階段，也就是在其進行偷竊、破壞之前，越早越好，能探知、圈制、移除它。

要能做好內網防禦最重要的就是對惡意程式要有偵知它、看見它的能力，就如同一個反飛彈系統最重要的是要有雷達或衛星能偵知敵方飛彈的發射與來襲，否則無法及時回應。內網防禦的有效性在於要有一個資安平台能對內網做全面性的監控，並能及時偵知、圈制惡意程式的活動，必要時予以移除。要全面性就是所有電腦要納管，很多機構與企業的一大漏洞就是許多個人電腦不納管，不受保護，最容易被駭客所乘。

有鑑於此，朱順一進一步表示:「政府機關以及金融機構等有一定的資安規範，但這只是基本，並不足以防駭。以內網防禦來說，合規只監控內網中非常少部分的端點設備，定期出報告，看的面很小，不是一個實時(real time)系統，不能即時回應，也不能進行圈制或移除。機構的資安除合規外，一定要搭配全面的內網防禦才能有效防止駭客入侵進行偷竊與破壞。」