現今企業面對的資安威脅,入侵管道之多、手法變化之快速,已非單一控管機制足以抗衡,必須透過專業資安人員,模擬駭客思維在各式資訊中搜查與追蹤其行徑,才有能力精準地界定整起入侵事件。只是台灣資安人才本就不多,有意識培養IT人員學習資安技能的企業更是少見,遊戲公司可說是其中較特殊的產業。
畢竟遊戲產業屬創意產業,企業文化向來偏重人性化管理,不像是金融保險業等有法規規範必須遵循,考量資安問題建置的控管措施原本並不多。只是隨著遊戲玩家變多,遊戲中的點數、虛擬寶物開始變成有價資產,自然成為駭客覬覦的對象。再加上遊戲公司過去往往缺乏完善的資安防護建置,長期以來一向是駭客攻擊的目標,不過也因此,卻讓身處遊戲產業的IT人員有此環境練就一身好技術。
重訂架構、資安教育 穩紮基礎防護能力
「原本企業IT應有的技能,首要應著重在基礎架構運行效能與穩定度,為應用系統提供更好服務品質。近年來則是在駭客頻繁攻擊下,才逐漸轉向外部來的資安威脅處理。」果核數位營運長許武先指出。尤其是DDoS(Distributed Denial of Service)與APT(Advanced Persistent Threat)攻擊,始終是遊戲產業最大的挑戰。前者的目的大多是為了勒索金錢,後者則是以竊取有價資產為主。但是遊戲公司提供的服務項目產值並不高,先進的資安防禦解決方案卻價格不斐,若非實際遇到問題,大多不會主動導入建置。
|
▲果核數位營運長許武先提醒,台灣產業普遍欠缺對於資訊安全的認知,尤其是企業主,必須先認同資安的價值,才能捍衛營運機密不被竊取。 |
他以母公司遊戲橘子為例,早期雖然基本該有的防火牆、防毒、入侵偵測防禦等應有的資安建置皆具備,但所有員工皆屬於相同網段,只要一名員工的電腦不慎被駭客成功入侵,將可滲透到任何擁有高權限者,且不會被發現。畢竟以往的IT建置架構,主要考量點在於效能、成本、便利性,因此很容易遭遇資安威脅。
為了降低潛在的風險,遊戲橘子決議從管理面著手,重新配置公司網路架構,依照部門別與業務性質區分為不同網段,如此一來,不同網段之間彼此就無法直通;在妥善規劃過的架構之下,即使不依賴工具也可算察覺異常狀況。接下來則是執行內部教育訓練制度的建立與推廣,對此遊戲橘子投入相當多資源,延續至今所有新進員工皆必須接受資安訓練與測驗,且每隔一段時間會透過電子報、資安講習宣導更新觀念,如此運行多年後果然奏效,通常在災害發生前可及時被發現。
有效阻止目標式滲透資安技術為首要關鍵
「近兩年就曾發現過我認為是真正的APT攻擊。」許武先指出。事件當事人是遊戲程式研發營運主管,收到一封附加競爭對手遊戲產品技術架構資料的郵件,所幸多年來的資安教育訓練建立警覺心,即使郵件附加檔案相當吸引人,該營運主管也沒有貿然開啟,而是轉寄至IT部門請資安人員先行查看,因此發現是利用真實文件資料夾帶惡意程式的目標式攻擊。
其實研發人員的姓名、聯絡方式等資訊,外界即使要取得都不容易,駭客竟還能明確地發送給負責該職務的主管,顯然對遊戲橘子的組織架構相當了解。他認為,駭客攻擊會演變為APT,勢必經過長期蒐集累積,彙整成為可挑選攻擊目標的資料庫,搭配低調、隱匿地攻擊技巧,逐漸建立駭客地下經濟。
面對APT這類非典型攻擊行為,資安廠商也相繼設計專屬設備協助企業端因應。「我們當然也有測試過此類方案,經評估後目前仍未採用,主要因素並非方案技術無效,而是考量昂貴價格後的效益不足,且隨著過去遊戲橘子在資安方面的投資,內部資安人員本身已具備相等技能,更何況,欲降低資安風險,還需搭配基礎架構、管理制度,才會發揮綜效,工具只是輔助措施。」許武先說。
是否需要聘雇專屬資安人員,對多數一般企業而言仍是兩難。他進一步說明,抵擋駭客入侵當然是最終目標,但企業主的考量還包括,若聘請的資安人員技術能力很高明,勢必懂得繞過與隱藏痕跡,如此一來,萬一被駭客所利誘吸收、或根本就是名非法駭客,恐為企業帶來更大災難。因此至今有許多公司不願意設立資安人員,此時專屬設備即是較合適的解決方案,否則極有可能被駭客滲入而不自知。
憑藉資安實戰經驗 獨立營運提供服務
其實遊戲橘子不只是知名的遊戲公司,本身也是二類電信商,提供機櫃、頻寬、雲端平台等基本IDC服務,讓同業租用。之所以會有雙重身份,許武先表示,主要是發現遊戲產業確實普遍存在伺服器代管的需求,並非遊戲軟體業者不願意投資興建資料中心,而是IT管理面的專業技能本非擅長,遇到問題經常不知如何處理。因此遊戲橘子在去年開始集團發展業務轉型下,將IDC業務獨立成立「果核數位」,專注提供同業或更多其他產業IT所需的各項服務。
目前果核數位的資安服務,除了既有資安監控中心(SOC),亦包含Anti-DDoS、滲透測試、原始碼檢測服務。「其中,原始碼檢測採用的是HP Fortify,主要是過去在遊戲橘子內部即已導入,如今果核數位也持續跟HP合作,提供白箱檢測服務。」許武先說。但滲透測試服務則非採以商業工具進行,而是內部培養的資安技術人員,由擁有台灣相當稀少的滲透測試專家證照(Licensed Penetration Tester,LPT)的高手親自執行,畢竟制式的工具無法模擬駭客行為,還是得人力介入才得以發現問題。
此外,對於果核數位團隊本就熟悉的遊戲應用程式,更提供深度檢測服務,不管是App遊戲、線上遊戲皆可。由於遊戲產品的資安考量較資訊系統不同,必須留意像是金額與點數可能會在用戶端被竄改的問題,畢竟遊戲執行方式,是用戶端從伺服器下載相關資訊,可能會被外掛軟體暴力破解,並非源自程式本身的Bug或漏洞,而是在程式撰寫時,較著重在整合運行的穩定度與執行效能,缺乏考量是否將成為破解環節。許武先強調,「我們以往只有在遊戲橘子內部測試自家產品,檢測是否可能被外掛、修改遊戲參數、點數等,如今的果核數位自然可發揮既有的優勢,為其他遊戲公司的產品提供檢測服務。」