不少人納悶,近年不論政府、企業或個人,投入資安的力道明顯增強,豈料臺灣資安問題仍越演越烈,好奇其中究竟蘊藏哪些驚濤「駭」浪的秘辛?
為幫助大家解惑,進而在兵凶戰危態勢中找出自保之道,果核數位在日前舉辦2023年第二場Hack Talk論壇,邀請來自法務部調查局,及知名資安公司、會計師事務所的多位專家聯袂開講。
調查局助陣,公私合力阻斷攻擊
調查局臺北市調處組長蘇文杰表示,從2018至2022年,他曾發掘與承辦許多重大案件,涵蓋金融業、關鍵基礎設施(CI)、教育部門、公務機關等不同受害單位,其中涉及多元的電腦犯罪、資安事件型態。綜觀近年重大事件,大致圍繞APT、DDoS、社交工程郵件、竊取個資…等攻擊手段;不僅事件數量攀升,牽涉範圍也不斷擴大,受害民眾多達上千甚至上萬人。
如何強化防禦?蘇組長認為需借重「鐵三角」,意即企業、委外廠商、執法機關齊力聯防,調查局也是其中重要一環,願意盡力協助私部門妥善處理資安事件及電腦犯罪案件。故近年調查局不斷走出去,如今年(2023)4月與新光金簽署MOU,希望透過彼此情資分享,從源頭阻斷資安攻擊,並推動資安演練、暢通雙方通報應變管道,在事件發生時提供專業援助,以達早期預警、緊急應變與持續維運綜效。
展望今後,歸納有幾個威脅趨勢值得關注,包括自疫情期間延燒不止的社交工程事件,以及串聯網通設備漏洞的APT攻擊、鎖定GitHub開源專案的供應鏈攻擊、IoT設備的資安弱點威脅、逐漸轉向目標式的雙重加密勒索攻擊,乃至個資或營業秘密外洩。為此調查局可提供犯罪偵查、數位鑑識、經驗交流、事件研析等助力,與企業並肩戰勝惡意威脅。
另外調查局在2020年將原本假訊息防制中心升級為資安工作站,身為此工作站調查官的張君齊,也分享近期事件案例。首先在裴洛西事件中台鐵LED看板遭駭客置換內容,其思考點包括IoT設備是否設定存取密碼、定期更新韌體?有無架設防火牆並建立白名單機制、與網際網路是否斷開?
另一例為供應鏈攻擊,苦主是臺灣中部某單位,有上千筆資料慘遭加密。此案件懸疑之處在於紀錄檔案遭人從本機登入刪除,顯然非駭客所為。深入追查下發現是維運商擔心被客戶究責,假借釐清事件名義而刪除紀錄。此案思考點很多,包括防毒主機遭關閉,為何沒跳出告警?維運商從遠端登入,有無接受二階段驗證?外包契約內有無規範事件責任歸屬?維運商後來的舉動是否違反妨害電腦使用罪?
嚴防Web3新興威脅,釐清資安現實與理想差距
趨勢科技全球消費市場開發暨行銷協理劉彥伯,以「Web3才剛來,阿伯已經出事了」為題發表演說。他指出觀察近年國內重大金融詐騙案件,明顯可見Web3威脅已到來。
他從存取層問題說起。首先Web3不使用傳統帳密做身分驗證,用戶須自行保管私鑰及處理身分驗證場景;由於不可能記住密鑰,故需借助助記詞,這些助記詞恐成為駭客覬覦標的。其次曾有駭客仿造MetaMask原廠,發郵件和連結給客戶,導引客戶造訪假網站。再來詐騙者知道Web3用戶為數位資產所有者,易於鎖定目標,於是透過社群媒體發送虛假訊息給潛在受害人,設局掠奪錢包所有權。另外常看到假空投,駭客利用區塊鏈瀏覽器誤導用戶、並提供虛假訊息,讓用戶相信代幣與合約的合法性。
在其他層次也有諸多問題,如在應用層的DeFi空投詐欺,或在基礎架構層用來Web2釣魚的Web3 IPFS,皆應提高警覺。劉彥伯建議,用戶可透過區塊鏈瀏覽器來分析網站並追查帳本。
不可諱言詐騙與犯罪可能扼殺Web3未來,所幸金管會已祭出五大資安檢測及演練措施,加上虛擬貨幣的主管機關底定,金管會將依「洗錢防制法」為基底,訂定「管理虛擬資產平台及交易業務事業(VASP)指導原則」,驅使業者自律、配合資訊揭露透明,有助於讓大家增強對Web3的信心。
最後由勤業眾信聯合會計師事務所風險諮詢資深經理Chloe擔任壓軸講師,她援引Deloitte網路安全調查報告指出,因人才短缺、內部威脅、網路攻擊趨勢、攻擊鏈風險,導致現今資安的現實與理想差距巨大。以人才為例,每5個受訪企業就有1個表示,需等待逾半年才能為空缺職位找到合格候選人。
Chloe建議,若你有志從事資安工作,須先了解你的定位,看是屬於管理型CISO、技術型CISO、資安管理人員或資安技術人員等類型,再比對資安人才職能地圖,研習所需通識課程、基礎課程、進階課程,並取得資通安全專業證照。
此外須體認到網路環境正面臨劇烈變遷,導致以往具庇護效果的威攝和規避手段,逐漸失去作用,癥結在於現今企業需頻頻與第三方溝通,無法閉門造車顧好資安;因此企業應重視Security by Design,在開發前就納入資安考量。如果你是管理者,需有能力向高層溝通、爭取支持資安投資,並確保資安與業務之間維持可信賴夥伴關係。
值得一提,根據Deloitte調查,為多數企業最擔心的資安事件帶來的衝擊影響為「營運中斷」,故平時需針對網攻事件回應及營運韌性預做準備,建議組織中應建立應變團隊小組及確保應變體系運作,並透過定期實施應變演練(如: 紅隊演練、滲透測試、社交工程演練、攻防演練、事件應變演練等),若已有定期執行演練者,另外,也建議演練可聯合第三方共同執行(包含供應商及客戶),以提升整體事件應變有效性。
熱門新聞
2024-11-12
2024-11-10
2024-11-13
2024-11-10
2024-11-11
2024-11-11
2024-11-12