作者簡介

作者林信忠目前擔任凌群電腦資訊安全顧問。主要工作包含資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品前端銷售、ISO /IEC 27001認證輔導、弱點檢測、滲透測試等事項。擁有CISSP、CSSLP、ECSAv9、CCSK、ISO 27001/20000 LAC、TCSE、ITILv3 Foundation等證照。

前言

2023年對全球來說，真是紛擾多災的一年，除了俄烏及以巴戰爭外，不乏地震、罷工、大規模槍擊、電話詐騙等令人惶惶不安的事情發生。而在資安領域，2023年全球重大網路安全事件依然頻發，網路攻擊威脅持續上升，勒索軟體、資料外洩、駭客攻擊等威脅手段層出不窮，且因人工智慧技術的發展，這些行為更具危害與更難防禦。另外駭客的攻擊成本降低，攻擊方式卻更先進，企業面臨的網路安全形勢將更趨嚴峻，甚至對國家安全造成了威脅。

因此本篇文章重點分為兩個部分，第一部分摘要2023年全球與台灣發生的重大資安事件與資安措施，第二部分則針對如何防護這些攻擊提供建議說明。

2023年重大資安事件

一月份:

• 華航會員資料外洩。
  
• iRent車輛共享服務的用戶資料庫長時間公開。
  
• 永豐銀行信用卡用戶疑因3D Secure驗證碼被竊取而遭盜刷。

二月份:

• 飛宏遭勒索軟體勒索。
  
• 微風資料外洩。
  
• iRent和格上汽車租賃資料庫安全缺失。
  
• 駭客利用ChatGPT散布惡意軟體。

三月份:

• 宏碁、威秀影城、故宮資料外洩。

四月份:

• 3CX和X_Trader軟體供應鏈攻擊事件
  
• 員工不當使用GPT所帶來的風險

五月份:

• iThome資安大調查結果揭露2022年臺灣企業資安災情，服務業資安事件最多。
  
• ChatGPT濫用、AI聲音偽造等新興技術風險受關注。
  
• YouBike、微風單車等遭駭。
  
• PyPI收緊審核防止惡意程式濫用

六月份:

• Lockbit勒索軟體聲稱攻擊台積電，後證實是供應商擎昊科技遭入侵。
  
• MOVEit Transfer零時差漏洞攻擊曝光後，受害名單陸續浮現，影響遍及全球各行各業。
  
• 歐洲通過具里程碑意義的AI法案，限制可能危害人類安全的AI應用。

七月份:

• 美國SEC通過重大資安事件4天內披露規定，資安事件揭露法規趨嚴。
  
• 駭客濫用帳號簽章、AI生成工具、殭屍網路等手法頻傳，攻擊態勢多樣複雜。
  
• 臺灣自來水公司遭冒名發送詐騙簡訊。

八月份:

• 美國啟動AI Cyber Challenge，利用AI找出並修補軟體漏洞，幫助解決資安人才短缺。
  
• 我國發布生成式AI使用參考指引，聚焦AI安全使用。企業也需訂定ChatGPT等使用政策。
  
• 17Live指控綠界金流系統漏洞。
  
• 國家資通安全研究院表明建立資安人才框架是重點。
  
• AI安全與量子安全的發展值得密切關注。

九月份:

• OpenAI成立紅隊演練網路以改善AI安全。
  
• 出現針對關鍵基礎設施如電網、電信的攻擊，以及大規模網釣郵件活動。
  
• 政府單位發布軟硬體物料清單框架。
  
• GPU旁路攻擊、殭屍網路威脅等技術演進值得?注。

十月份:

• 零時差漏洞攻擊頻傳，思科IOS XE漏洞事件影響廣泛。
  
• Okta支援系統遭駭，可能導致廣泛連鎖影響。
  
• 政府資訊服務採購重視資安要求，推出111短碼平臺。
  
• 國際網路攻防演?中，台灣表現優異，展現資安實力。

對症下藥外 資安管理需落實

綜整2023年發生各項資安事件，型態可概分為資料外洩、勒索軟體、不安全的組態(configuration)設定、新型態/技術攻擊及供應鏈風險等五種類型，而企業除配合公部門相關資安要求外，更可經由以下安全措施著手：

一、漏洞修補

漏洞修補是指在軟體、應用程式或系統中發現並修復安全漏洞的過程。。修補漏洞的主要目標是提高系統的安全性，減少駭客利用這些漏洞入侵組織的潛在的風險。

漏洞修補的方式通常包括以下步驟：

• 識別漏洞：使用漏洞掃描工具檢測系統中的漏洞。這些漏洞包括程式碼錯誤、未經授權的進入點、不安全的設定等。
  
• 評估漏洞：一旦發現漏洞，需要評估其嚴重等級。評估漏洞的嚴重等級可幫助確定修補的優先順序。
  
• 進行修補：根據漏洞的性質，實施相應的修補措施，這可能需要原廠或資安專業人士協助，此階段最好能先在測試環境下進行，以確保不會產生新的問題。
  
• 部署修補：一旦修補經過測試，可以將其部署到生產環境中，以修復漏洞。

二、威脅情資分享

威脅情資分享是指組織、安全專業人員和相關利益相關者之間共享關於威脅、攻擊和資訊安全事件的資訊和情報的過程。針對可能出現如人工智慧等新型態的攻擊程式或手法，情資分享是十分重要的，透過分享威脅情資，組織可以更快了解到最新的威脅，預先採取防禦措施；另外也促進了組織之間的合作，使其能夠共同應對威脅，共享經驗，提高整體資訊安全外還可改進威脅情報的精確性。筆者建議企業能加入公協會或主管機關設立的訊息共享平台以達成威脅情資分享的目的。

三、實施人員安全意識培訓作業

對駭客而言，利用社交工程手法入侵企業遠比純技術手段要容易許多，故實施人員安全意識培訓有其必要性，如定期/不定期的各種管道的社交工程演練等，這樣可提高員工對資訊安全風險的警覺性。

四、重視供應鏈風險

現代企業對供應鏈的依賴性增加，供應鏈可能包含多個供應商與合作夥伴，某些廠商可以存取組織的敏感資訊或有其權限。越來越多的駭客將注意力集中在供應商上，先入侵供應商系統後再藉由此跳板進入組織，因此組織需要關注供應商的資訊安全實踐。實務上的做法組織可以先盤點供應商的存取管道與其帳號權限，定期審查檢視這些管道與權限的適切性，必要時可以經由合約等規範保有對供應商資安環境稽核的權利。

五、建立資訊系統安全組態基準

建立系統資訊安全組態基準是非常重要的，它可以保護資訊資產防止資訊系統被未經授權的訪問、資料竊取或損壞。此外也具有遵循法規要求的意涵，如ISO/IEC27001:2022條文內就有組態建立的相關要求。實務做法可先調查盤點歸納組織內資訊系統的種類與數量(如Windows、Linux、Cisco IOS、DB等)再針對這些系統分別訂定其組態基準，要求系統管理人員依循這些基準做設定，再建立一個有效的稽核機制，確保各系統的生命週期都能依循這套基準設定，如此能有效降低駭客入侵成功的機率，如果人員對相關基準不了解，可參考政府組態基準(GCB)的要求，至於鬆緊程度則依組織防護水準斟酌考量。

稽核機制，確保各系統的生命週期都能依循這套基準設定，如此能有效降低駭客入侵成功的機率，如果人員對相關基準不了解，可參考政府組態基準(GCB)的要求，至於鬆緊程度則依組織防護水準斟酌考量。

結語

儘管2023年企業面臨的資安挑戰仍然巨大多變，前面所提客項安全措施部分企業應已意識到並著手進行，以筆者的經驗而言，資安的落實度十分重要，許多安全事件的發生，實際上企業用戶均已擬定對應的機制策略，但還是因人為執行不夠確實而造成損失，因此惟有組織高層主管們能意識到資安的重要性，不要口惠而實不至，而應採取賞罰分明管理與技術並行的方式，逐步強化資訊安全管(治)理，共同使這條資安防護的道路走得更加平坦順暢。

參考資料

https://www.ithome.com.tw/tags/資安月報
https://www.nics.nat.gov.tw/GCB.htm?lang=zh/政府組態基準GCB