隨著攻擊威脅逐年加劇,直接採以勒索方式要求支付比特幣贖金,不僅是防禦力較薄弱的中小企業易遭無差別式加密勒索病毒襲擊,營運業務高度仰賴網路的產業類型,更是DDoS攻擊勒索的首要目標,最知名的案例即是2017年農曆假期後,台灣首次出現券商業集體遭到DDoS攻擊勒索事件。
以往本土資安需求,向來仰賴法規規範推動,長期配合政府政策實施的中華電信數據通信分公司資通安全處副處長張文彬觀察,在沒有法規規範下,多數企業往往不認為資安需要優先被重視,近年來攻擊手法多變,各種產業、不同規模的公司皆無法倖免,才帶動需求明顯增加。中華電信數據通信分公司資安處為了提供較以往更彈性與高效率的產品與服務,在2018年正式成立資安子公司,廣納國內資安人才以及人工智慧領域人才,協助大型企業與政府組織因應複雜的網路攻擊事件。
商品化社交工程與弱點掃描平台
|
▲中華電信數據通信分公司資通安全處副處長張文彬指出,除了自家發展的產品與服務,亦偕同第三方廠商建立策略合作,例如DAM、DLP等領域,整合提供企業或政府組織相關服務,藉此共同推動國內資安產業。 |
數據通信分公司資安處的客群大多著重在政府機關、金融等IT規模較大,需要專業客製化的產業。張文彬以中華電信自家建置的社交工程平台為例,原本為內部演練需求所研發,近來則予以產品化,開始協助大型企業內部自建,讓法規規定每半年至少執行一次的社交工程演練,可依據資安威脅程度自行調整頻率,強化內部員工意識。「社交工程平台方案是在我們內部應用成熟後,才予以產品化銷售,讓客戶可取得已運行多年、成熟的產品,導入建置後只要整合介接帳號伺服器立即可用。」
另一個近來相當受到關注則的是弱點掃描平台。張文彬說明,中華電信營運業務項目相當多樣,內部約莫有超過三百個資訊系統,單一系統的主機可能多達上百台,欲執行弱點掃描時,須先經過盤點主機與IP位址,之後透過排程執行掃描,再提供給各個系統管理員掃描結果與修補建議,並且在修補完成後回報,再次執行掃描確認才能結案。
現代程式碼異動相當頻繁,對於弱點掃描的需求也隨之增加。以中華電信自家為例,規定新系統或程式碼變更,在上線前必須要執行弱點掃描,除了黑、白箱測試,亦須執行介於兩者之間的灰箱,也就是類似滲透測試,由自家的道德駭客撰寫腳本模擬實際的攻擊。「近來也把弱點掃描平台予以商品化,且已有金融業導入建置,用中華電信提供的自動化工具,來取代過去以人工操作執行的弱點掃描測試,藉此提升效率。」
結合電路端與外部情資建立威脅防禦
中華電信自主研發的社交工程平台與弱點掃描平台陸續被商品化之後,張文彬指出,現階段正在推廣的計畫,則是近來政府與大型企業皆相當看重的情資服務。畢竟駭客攻擊經常利用零時差漏洞來發動,若有充分情資則可先一步建立防護,以免造成資安事故。例如在WannaCry出現的第一時間,相關的樣本、攻擊手法等資訊,可及早發布到企業與組織內部相關防禦機制,則有機會降低損害範圍。
現代化資安的觀念,不僅要縱深防禦、建立聯合防線,亦必須匯入最新情資才有能力控制風險。零時差攻擊可說是防不勝防,即便運用最先進的資安技術,第一時間往往難以攔阻,卻可從受害案例中取得樣本、攻擊手法等資訊後,盡速匯入到防禦系統建立辨識能力並執行攔阻。
|
▲中華電信基於自家骨幹頻寬中掌握龐大的資料量,透過交換、訂閱外部不同領域的情資,整合提供資安資訊分享及分析平台。(資料來源:中華電信) |
之所以要由中華電信推廣情資服務,首先,外部情資服務通常價格不斐,可能每年須支付上百萬的金額,而且通常需要將多種情資來源,整合成為廣泛的資料庫,並非為多數企業可負擔,除非為資安服務廠商,購買情資後分散提供給客戶,才得以降低成本。
「中華電信不只採購外部情資,我們的網路資安方案,例如機房端的入侵防禦系統,就已有能力掌握相當多攻擊樣本,而且是在地化情資,可說是中華電信獨特之處。此外,中華電信擁有具備資安知識的資料科學家來進行彙整與分析,才得以轉換成有用的資訊。」
運用龐大資料發展AI訓練出精準模型
政府正在大力推動的前瞻基礎建設計畫中,亦包含情資服務整合系統,稱之為資安資訊分享及分析中心(ISAC)。張文彬說明,前瞻計畫明文指出八大關鍵基礎設施,包含六都需建立的區域聯防,皆需要建置資安資訊分享及分析中心、資安通報應變中心(CERT)、資安監控中心(SOC),現階段多數是以資安資訊分享及分析中心為首要切入點,先行建立情資交換平台,以提供實作聯防措施。
「比如新北市負責新北市、基隆、宜蘭,過去可能已各自建置資安監控中心,如今則是要集中成為二線單位,藉此扶持周邊地區強化資安防護。」張文彬說。過去的通報機制設計思維是由下往上,讓各組織單位根據實際發生的事件建立因應措施,實際上卻發現多數組織單位遭遇資安問題時,多半不願意往上層通報,以免被檢討過失。因此政府前瞻計畫中擬定的政策是由上而下,從第三方單位情資單位取得最新的攻擊手法,整合到各產業主管機關的資安資訊分享及分析平台,例如由衛福部統整資訊後再向下發布到各醫療院所,藉此於資安防禦設備上建立辨識、攔阻能力。
此外,目前正積極發展的是運用人工智慧與機器學習技術,以中華電信所掌握龐大資料來源的優勢,藉此訓練出精準的演算模型。張文彬指出,發展計畫亦包含偕同學術研究機構,由中華電信提供實際場域,透過產學合作共同研究。