漫談2018資訊安全趨勢展望

作者/林信忠

作者簡介 作者現任職凌群電腦資安顧問，負責資訊安全需求規劃、滲透測試與弱點掃描、ISO/IEC27001輔導等業務，曾參與國內重大標案資訊安全相關建置，擁有CISSP、CCSK及ECSAv9等證照。 前言 回顧2017年，各領域都發生了令人目不暇給的變化。就政治而言，川普就任美國總統，凡事揭櫫美國優先的政策。朝鮮半島因北韓核武發展與飛彈試射導致區域上的高度緊張。歐洲英國與德國大選執政黨的挫敗使得其政策推動增加了不確定性，其他還有恐怖主義、以巴聖城耶路薩冷遷都衝突等問題。經濟領域有英國啟動脫歐程序、美國稅改的資金磁吸效應、比特幣價值的暴漲、大陸A股入摩等事件都會對未來世界經濟局勢造成影響。而ICT領域呢? 從來該領域中資訊安全就是很熱門的議題，本文撰寫目的即是針對2017年，國內外資訊安全領域上發生事件之重點審視，參考這些事件與彙整各方對2018年的安全預測做一摘要性的報告及筆者的心得建議。 重大事件 來看一看2017年國內外發生了哪些的令人矚目的資安事件。 一、遠銀被駭事件 遠銀2017/10/3日發現遭駭客植入惡意程式，取得轉帳憑證，並發出匯款通知給受託銀行，擬透過中介銀行轉到駭客指定的銀行帳戶，匯往柬埔寨、斯里蘭卡及美國等國，金額達6010.4萬美元。此案駭客利用聲東擊西的手法讓遠銀先認為是單純的周邊設備病毒與勒索軟體入侵，遠銀依其程序啟動應變機制並找了業界的資安專家處理刪除病毒與後門程式後原以為事情就到此結束，無奈事與願違，過了兩天遠銀在系統對帳時發現7筆偽冒交易,經詳細檢查後才驚覺是SWIFT（環球銀行間金融電訊網路）遭到駭客攻擊。此案最終雖追回了大部分的款項並抓到的幾名國外取款的車手,惟對於駭客核心入侵手法無法全盤了解,只能用抽絲剝繭的方式慢慢追蹤還原。比方駭客應十分了解受害銀行與SWIFT的作業模式,入侵後先刪除部分防毒軟體檔案->執行勒索軟體->散佈惡意程式->回傳中繼站->入侵SWIFT->破解認證程式->電文轉帳->車手取款等等,而最重要的關鍵點在於駭客到底是如何入侵SWIFT系統?據信這才是釐清案情最關鍵所在。 二、多家證商遭DDoS分散式阻斷服務攻擊與勒索 2017年2月臺灣爆發了第一次券商集體遭DDoS攻擊勒索事件，79家券商中有十多家券商收到勒索信件，其中13家的網站下單系統更實際遭DDoS攻擊，平均停擺了半個多小時, 影響到200億元股票的交易安全。駭客利用NTP、SNMP、TFTP等協定弱點挑選早上8點和10點之間，隨機鎖定券商發動DDoS攻擊。此案在2017開春之際引起社會廣大關注,政府與各大ISP均嚴密監控券商網路流量並適時提供支援。據事後專家分析此代表駭客將勒索目標由傳統博弈、雲端、遊戲業者擴大到證券業,且採用了大量自動化攻擊和勒索工具，甚至可能租用免費限時的DDoS服務，發動集體式的攻擊勒索，展開盲目式隨機攻擊，其目的就是勒索金錢。雖然此方式比起針對特定對象能發動的攻擊流量較小，但是因受害者的範圍廣泛能勒索到的金錢可能更多。 三、勒索軟體WanaCrypt0r 2.0攻擊全球 Windows 系統漏洞 發現全球多個國家的機構及個人電腦遭受名為「WanaCrypt0r 2.0」的勒索軟體攻擊感染，該勒索軟體是直接透過微軟系統漏洞進行攻擊。據防毒軟體公司 Avast Software 公布的數字，全球有 99 個國家偵測到超過 75,000 宗 「WanaCrypt0r 2.0」的攻擊個案，而在 Kaspersky 安全研究及分析團隊偵測到的 45,000 宗攻擊個案中，香港、台灣和中國大陸同屬攻擊分佈最高的國家及地區前10名。 四、機器人程式大量散布銀行木馬郵件 法國惡意郵件研究人員發現，一隻從荷蘭「出發」的電郵機器人程式（spambot）「Onliner」，試圖擷取用戶的電郵與帳號，並藉由這些帳號的掩護，散布含有惡意銀行木馬程式「Ursnif」的垃圾郵件,有7億1150萬個電子帳號遭到機器人程式「利用」，這是目前發現最大的駭客行為操作。專家表示機器人程式蒐集的資料雖多，但真正能被利用的帳號應少於預估的數目，但仍不能掉以輕心，因為此機器人程式能騙過「垃圾郵件過濾系統」，讓使用者在沒有戒心的情況下誤開木馬郵件。 如懷疑自己遭駭，可上https://haveibeenpwned.com/網站驗證，一旦被駭則建議立刻變更密碼或是停用帳戶。 五、星、臺、澳紐簽訂資安聯防協議與金管會要求壽險業者強化資訊安全 於2017/11/14日在新加坡金融管理局（MAS）與FS-ISAC全球金融服務資訊共享與分析中心主導下包含台灣、新加坡、澳紐在內的地區與49家金融機構，成立新加坡亞太區分析中心辦公室，希望透過跨國資訊共享聯手防堵駭客攻擊。由於網路特性,單一國家或組織並沒能力單獨應付日益頻繁的網路攻擊,是故集合眾國之力是一趨勢。而我國金管會亦通過壽險公會修正自律規範以強化壽險業的資訊安全。該規範有兩大修正，一為強化保險業的行動裝置的應用程式（APP）；另一方面對於報廢的設備，各壽險公司需小心處理，以避免保戶的資料受到侵害。 六、62%網路安全專家認為，駭客已經開始用AI來進行網路攻擊 2017年 7 月舉辦的美國駭客年會（Black Hat），數百名網路安全專家一起討論 AI 技術可能帶來的隱憂，當與會者被問到「未來一年內，是否會有駭客開始利用 AI 進行網路犯罪」時，近 62% 的受訪者給了肯定的答案。 2018年之資安趨勢展望 參考各資安組織、廠商、專家對2018年預測筆者將其主要觀點整理如下： 一、物聯網資安威脅持續增加 為迎接物聯網時代的來臨,企業推出更多的感測器、網際網路連接設備，而物聯網仍然是資安防禦的主要弱點。物聯網設備通常缺乏基本的安全功能，沒有正確配置，並可能保有預設密碼，沒定期或根本沒有更新。這提供了駭客利用殭屍網路攻擊或透過系統、應用程式漏洞竊取資料或控制設備的機會。人們需要妥善保護物聯網，否則在2018年繼續成為一個大議題。 二、人工智慧與機器學習技術加速資訊安全防禦與攻擊動能 人工智慧和機器學習的高速發展,必將在網路安全方面發揮更大的作用。機器學習能夠迅速預測和準確識別攻擊，對資訊安全專業人員來說可能是一個福音。而機器人模式需要不斷培訓和磨練。同理，AI和機器學習亦有可能被駭客利用。還有人臉辨識技術、GlobalSign的安全專家預測2018年此技術將會被用於簡單的電子簽名認證當中。 三、資安人才的短缺 隨著駭客攻擊次數不斷增加與手法上的推陳出新，公、私部門均已意識到資訊安全的重要性，然專業的資安人才需經過長期的訓練方能養成，即使近來資安從業人員薪資已提高，然依統計仍有很大的人力缺口。 四、對資安內部威脅的逐步看重 Verizon的“2017年資料洩露調查報告”指出，員工資料竊取可能需要幾個月或幾年才能發現。組織慢慢意識到，未經授權訪問其系統或雖經合法授權，但超過其賦與被訪問權限的內部使用者行為相較於透過外部的複雜攻擊將造成更大的傷害。 五、更多專屬領域的安全或個資保護法令正在規畫或打算上路 如歐盟GDPR(Guidelines on Personal data breach notification under Regulation)個資新法、網路與資訊安全指導方針(Network and Information Security Directive)、俄羅斯的關鍵信息基礎設施安全法、中國大陸正在規劃的密碼法、我國的資通安全管理法等等。這些訊息代表全球主要國家或聯盟的公部門意識到資訊、網路、個人資料安全的重要性，進而利用公權力要求境內所屬組織或個人從事相關活動時須遵守特定的準則與要求，否則將受到處罰，這些法令對企業組織而言勿論立意良善與否都可能增加風險與成本，而這種法令或規定越來越多的態勢未來應只多不少。 六、其他 如舊的協定加速汰換(ex http 變成https)、區塊鏈技術在資訊安全上的應用、客製化的資安需求增加、共同資安語言與資安區域聯防和政府安全專責組織成立、網路犯罪已進化為犯罪即服務(CaaS, Crime as a Service)等等。 結論 對資訊安全從業者來說，2018年是充滿機會與挑戰的一年，與駭客的對抗更是場無休的戰爭。除應做好從資安的技術、管理、人員三個構面所衍生出來的各項安全控制措施外，可以思考一下除了傳統防禦思維外能不能因對未來趨勢、技術或行為(ex:AI、大數據….內部威脅等)的探索瞭解進而衍生出更創新的防護方法? 一家公司或個人沒有資源能不能結合更多的公司或有能力的人一起做?當然須同時思考獲利等驅動合作的誘因，如果成功可能就是個持久的商業模式，而這個商業模式對組織的資訊安全保護或對個人收益都有好處。筆者最近發現一個提供黑客驅動的安全測試網站()其背後隱含的想法是個很好例子，希望這篇文章能對資安防禦創新思維啟發能有小小的幫助。 參考資料 1.【防駭客 星、台9國簽訂資安聯防】2017-11-15 金融匯市 By 陳碧芬新加坡報導 From:工商時報網站　 2.【遠東銀行遭駭追追追】系列報導 From:iThome網站 3.台灣電腦網路危機處理暨協調中心官網 4.CSO From:IDG官網 5.【The Top 5 IT Security Trends for 2018】2017-12-11 by Michael Fimin From:SECURITY BOULVEARD 6.【GlobalSign：2018年網絡安全的七大趨勢】2017-11-08-09:49:00 by 51CTO From:CIO 時代 7.【台灣受創嚴重！勒索軟體WanaCrypt0r 2.0席捲全球99國，直接攻擊多版本Windows系統漏洞】2017-05-13 By Unwire.pro From:數位時代