IT廠商遭駭的省思

網路威脅無孔不入，以資安為主要業務的廠商也頻頻傳出遭駭事故，例如，2020年FireEye因為使用SolarWinds的產品而遭遇供應鏈攻擊，震撼全世界；今年8月因為爆發Salesloft Drift供應鏈攻擊，十多家提供資安解決方案的廠商都受到影響。

10月15日，以應用程式遞送控制器（ADC）、網站應用程式防火牆（WAF）等產品著稱的F5，突然發布公告承認遭駭，外流的資料包括部分產品的程式原始碼、尚未揭露且正在處理的資安漏洞資料，以及知識管理平臺的一些檔案，當中有少數客戶的組態設定或建置資訊。消息公開後，吸引不少國際新聞媒體報導，臺灣雖有部分媒體發布新聞，但社群網路顯然未關注此事。

我們整理相關消息的根據，有兩大來源，一是F5在自家網站的K000154696公告，一是美國證券交易委員會（SEC）公開的這次事故8-K表單。F5表明是8月9日察覺遭到國家級攻擊者侵入，經過調查，他們認為攻擊者長期而持續地存取F5的特定系統。而且基於他們調查得到的記錄顯示，透過同樣重複「他們沒有證據（We have no evidence）」開頭的敘述，表明公司本身其他系統的存取與資料未外流、軟體供應鏈沒被竄改，以及攻擊者未存取與修改該公司另外兩條產品線。10月22日F5資安長發文表示，他們「沒有看到」此次事故洩漏的資訊在暗網公開，也「沒有證據」顯示攻擊者存取的漏洞遭到積極濫用。

上述兩種句型很特別，或許是高人指點。我猜測他們認為這樣有更多解釋空間，未來若出現其他狀況，可辯稱當時已盡力、可惜沒掌握到相關資訊。但用戶與公眾接受嗎？可能會，因為至今沒看到抨擊或不滿聲浪。

至於為何拖了兩個月才公開事故？F5在8-K表單提到是美國司法部的認定，9月12日依據8-K表單第1.05(c)項規定，認定延遲公開披露屬合理行為，F5正依照時限提交報告，到了10月15日，F5在該公司的客戶支援網站MyF5正式公告事故相關資訊，當中內容的副本也作為8-K表單的附件供大眾閱覽。

F5建議用戶採取的行動，也提到幾個企業原本要具備的能力，他們有相關資源，例如可經由F5技術支援單位提供威脅獵捕指南，強化用戶環境的偵測與監控能力；提供強化F5系統最佳實務資訊，並在F5 iHealth Diagnostic Tool增添相關的檢查機制，裡面將列出防護空隙、優先處理事項，以及矯正措施的網址連結；他們也建議用戶要針對安全事件與資訊系統（SIEM）啟用BIG-IP事件串流機制，以便監控有心人士的嘗試登入行為，掌握以系統管理者身分登入、認證失敗、權限變更，以及組態異動等狀況。

至於F5的自我檢討部分，他們表示已輪換系統存取的憑證與強化存取控制，採用改善的資產管理機制與弱點修補管理自動化，增添更多工具以便提升資安威脅的監控、偵測、應變能力，並且導入提升網路安全架構的機制，而對於產品研發環境的安全性，也針對所有軟體開發平臺，實施強化安全控管與監控機制。

關於F5產品安全，他們找專精程式碼安全的NCC Group與IOActive合作，對產品審視程式碼與滲透測試，及早辨識與修正弱點。

另一個作法近年來在業界較少見，是推薦其他資安廠商的產品，F5表示，他們與EDR廠商CrowdStrike合作，將EDR感測器與威脅獵捕服務延伸至BIG-IP系統，以便提升威脅能見度與防禦能力，目前已發展出早期可用版本供BIG-IP用戶使用（適用BIG-IP虛擬版17.1.3和 17.5.1.3），F5也對他們支援的用戶提供約1年的免費CrowdStrike EDR訂閱。

與其他資安廠商合作調查與稽核，這已是業界慣例，可提供相對公正與客觀的分析，不過，令人好奇的是，F5本身就是資安廠商，用戶應該會期待該公司對於自家產品遭到異常或非法使用，能有更主動的監控與自保機制，SIEM與EDR早已是一般企業理應要有的基本資安措施，F5固然此時可提醒用戶注意相關的整合，提供可免費使用其他資安廠商1年期EDR這招很奇怪，企業要導入任何資安防護系統都需要審慎評估，現在就連免費提供1年期防毒軟體，企業都未必會接受，因為還要處理部署與管理事宜，而現在因為F5遭駭而破例的機會不大，更何況去年CrowdStrike造成全球電腦大當機殷鑑不遠，萬一再發生同樣事故，責任該算在誰頭上？