從韓國320駭客攻擊事件學到的教訓

針對韓國320駭客攻擊事件的調查報告，韓國政府直指北韓在背後操控320駭客攻擊事件，因為透過蛛絲馬跡追縱到的駭客IP位址，其註冊地點就在北韓的平壤柳京洞。而且駭客攻擊手法顯然是經過精心規畫，攻擊行動潛伏起碼超過8個月，期間有超過1千5百次潛入受害的銀行，而且駭客所使用的數十種攻擊程式，亦像是一隻正規軍，在攻擊行動中各司其職。

截至目前為止，此次駭客攻擊事件未傳出有重要機密資料外洩的情事，還看不出攻擊者的最終目的是為了什麼利益，但很明顯的是攻擊者要向全世界證明，韓國的安全防護體系能夠被擊垮。這些跡象顯示事件主腦絕不是普通的駭客組織，能策動如此大規模攻擊，並採取精湛的攻擊手法，也難怪韓國政府的調查報告會指向北韓政府。

企業不能再認為由國家策動的駭客攻擊不會波及企業，過去Google就指稱遭受中國駭客有特定目地的APT攻擊，而今韓國的駭客攻擊事件亦再度證明，企業不能再認為這些由國家策動的網路攻擊與自己無關。

人是資安防護最脆弱的一環

駭客要能潛入企業，必須先將惡意程式植入企業內部，在企業網路開了個後門，日後才能方便進出。因此，鎖定目標的APT攻擊首部曲，就是要找到能植入惡意程式的漏洞，而「人」通常是駭客最愛利用的惡意程式引渡者。

這次韓國駭客攻擊也不例外，駭客使用社交工程方式，寄送騙人的信用卡帳單通知信，誘使企業員工打開藏惡意程式的郵件附檔。

曾是行政院國家資通安全會報諮詢委員，推動資訊安全教育超過20年的淡江大學資訊處資訊長黃明達表示，「人」才是企業資訊安全最大的風險，現在網際網路如此發達，社群網站、通訊軟體更是時下年輕人的最愛，可作為駭客發動社交工程的工具越來越多。「使用者必須提升自己的資安素養，養成良好的電腦使用習慣，才不會讓駭客有機可乘。」黃明達說。

不要相信任何預設的信賴關係

韓國320攻擊之所以能一次癱瘓4萬多臺電腦與ATM提款機，重要的關鍵在於駭客掌握了資安軟體的更新主機，利用企業對防毒主機的信賴，利用更新軟體的機制來大量派送惡意程式。

遊戲橘子資訊長許武先表示，這次攻擊曝露了軟體更新機制的風險，因為自動化軟體更新機制行之有年，大家也就採取完全信賴的態度，但此一事件使他意識到不可相信任何預設的信賴機制。對於預設的信賴機制，若缺乏足夠的驗證機制，如軟體的數位簽章驗證，就可能會導致企業內部的風險。

除了資安軟體的更新主機，企業裏其實還有許多我們預設為信賴的機制，如AD網域機制、PKI、雙因素認證機制等等，而一些擁有集中管理功能的機制，亦須要重新檢視其信賴關係，例如遠端存取管理、資產管理平臺等等。許武先表示，甚至企業平常較少檢查的視訊監控設備，也不能再忽略了。

資安產品也會成為攻擊的目標

資安產品成為駭客攻擊的目標，也不是什麼新鮮的事，過去就有過一些針對防毒軟體的攻擊程式。但是，之前針對防毒軟體的惡意程式，並未針對特定的軟體，而在韓國攻擊事件中，攻擊者顯然已經徹底調查鎖定目標所使用的資安產品，只針對這幾種資安軟體設計特定的攻擊方式，客製特殊的攻擊程式。

企業除了要意識到資安產品有可能駭客下手的目標，此一事件更顯示，在駭客不擇手段的前提之下，其他設備也有可能成為攻擊目標。

不只是PC，伺服器也成為攻擊鎖定的目標

韓國320攻擊事件的重大災情，除了PC的硬碟開機磁區被刪除、硬碟資料被覆寫之外，另一個重要的訊息是，駭客也攻擊了多種伺服器，包括Linux、Unix伺服器等，甚至也有資料庫主機的資料被刪除。

這突顯了駭客想要取得更有價值的情報或資料，因為將攻擊目標瞄向肩負企業重要系統的伺服器。因此，企業必須將安全防護由端點防護，延伸至伺服器主機的防護，甚至是新興的行動裝置平臺，在APT攻擊無孔不入的情況下，企業所有的平臺都必須納入安全防護的策略之下。

駭客攻擊衝擊企業核心業務，考驗營運永續能力
此次駭客攻擊的直接目的，顯然是癱瘓銀行、電視臺等企業的營運。然而，也因為韓國在近幾年也陸續遭遇駭客攻擊事件，有準備的企業就能快速反應，如新韓銀行在事發1個小時後，就能陸續恢復局部的運作，而有些銀行就必須在4個小時甚至更久之後。

臺灣大學電算中心主任孫雅麗表示，企業除了部署安全隔離措施，也要重視資料保護，臺大建置雲端機房之後，每天會照規定執行系統快照，確保在意外事件發生時，能盡快復原。