駭客重金誘惑，內部員工也必須零信任

在8月底威力彩開獎前夕，由於頭獎上看27億元，引發全國熱議，因為疫情當前，許多自認在經濟上亟需紓困的民眾，自然很希望自己就是幸運得主，但這樣的現象，也不免讓人擔心是否會出現不惜代價、鋌而走險的行為，例如出賣企業或組織的機密資料，來換取金錢的狀況。

過往這類被歸類為商業間諜的行為，可能都有其針對的目標單位，例如重要的政府機構、部門，或是大型企業，但若是執行門檻更低、分紅金額誘人，再加上眼下疫情難緩解而衍生各種經濟危機，極有可能會讓一些員工動搖，而去做攻擊者的內應。

在我們的技術編輯周峻佑最近編譯的一篇資安新聞，就呈現了這樣的現象。對方是發動勒索軟體攻擊的駭客，對公司員工寄出電子郵件，以勒索贖金分紅的4成（相當於100萬美元、約新台幣2800萬元）試圖利誘，希望有權存取特定伺服器的使用者，能協助他們在公司的系統當中執行惡意軟體，以便進行植入與散播，之後也透過加密即時通訊軟體，向有意了解者說明合作方式。

這類事件的真實度應該很高，因為也很吻合現在的全球工作者態度，應該會促使企業重新思考現行的資安防護政策，能否因應這種疫情下必須正視的另一種潛在資安風險：內部威脅（Insider Threat）。

過往企業面對這類資安威脅時，總以為攻擊者的身分不外乎下列幾種：外部敵對人士、競爭廠商、被上述對象所收買的公司員工、對公司不滿的員工，至於資安意識不足的員工、粗心大意的員工，大多會予以教育訓練與訓斥規範的方式，提升人員的資安認知。但利字當頭，面對這種不請自來的勸誘電子郵件，一家企業、一個組織的眾多從業人員當中，只要有一個心動且配合行動者，企業極有可能陷入嚴重的資安危機。

而這筆利誘的金額數字之高，也讓我們相當擔憂後續是否會有人仿效。想想看，與其奪得彩券大獎的機率相比，若與駭客勾搭，神不知鬼不覺（自以為），若能趁機大撈一筆，或許可能擺脫低薪、背負沈重經濟負擔的困境，至於日後被逮住的後果是否嚴重，有些急於發財、翻身者，或許也顧不得了。

另一個比較也是相當不堪的。可能有不少企業或組織的資安預算、甚至IT預算、人事預算，是低於這筆錢，如果駭客願意「讓利」，改對使用者祭出銀彈攻勢，我們該從哪些層面來鞏固防禦呢？

從技術的角度來看，上述事件勾勒了可行性相當高的攻擊場景：對方以各種迂迴方式跨過實體與網路邊界管制時，能使惡意軟體直接執行在公司的伺服器、存在於內部網路時，我們必須自問：現行的資安配置能否擋住察覺這種「內應」？而從人員管理的角度來審視，公司薪資、工作安排必須要設法合理化，但員工真的知道這類裡應外合的後果有多嚴重嗎？除了被免職，企業平時對於相關的法律責任，平時是否也必須宣導呢？

就戰略而言，面對這類收買手法，也不禁讓人佩服過往十分看重利益的駭客，居然也能採取「拿得起、放得下」的態度，願意放下部分收入，來提高植入與滲透的機率。

或許就如同遊戲仙劍奇俠傳的招式「乾坤一擲」，除了攻防雙方的技術交鋒，透過耗費大量金錢而對敵人造成巨大傷害，的確也是一種戰略，那麼，你該怎麼接招？顯然，對內部人員實施零信任資安架構，將是企業與組織必備的自保之道。