网安威胁无止歇 落实防御基本功为上策

专家预期，近期引发轩然大波的WannaCry，仅是一连串漏洞信息武器的开端，若企业未能把握时机强化内网防御机制，甚至依旧疏于修补系统弱点，日后恐后患无穷。来源：Cybereason

随着数码转型趋势兴起，环顾各产业，即便以往侧重封闭作业环节的关键基础设施型产业，如今都逐渐拥抱云端、移动化、大数据、社群媒体、物联网、人工智能等数码科技，希冀借此展开创新升级大业，再创业务高峰。只不过，当企业群起簇拥数码科技应用浪潮的同时，殊不知许多想像不到的网安危机，已默默地环绕在企业的四周。

以近年沸沸扬扬的网安事件而论，便已显露了诸多让人忧心的发展趋向。首先综观几件攸关民生关键基础设施的事故，包括乌克兰电力网络遭骇、孟加拉央行的美国联准会帐户遭骇、一银盗领案，乃至层出不穷的多起医院惨遭加密勒索案例，不禁教人冷汗直流。主要是因为，无论电力产业的发电、输电、变电与配电等系统，金融产业的外汇SWIFT网络系统，银行业的ATM系统，以及医疗院所的HIS(医疗信息系统)，就一般人的印象，长期处在极为封闭的架构，按理说不会直接曝露在网际网络世界，少有机会被黑客攻破。

殊不知，看似固若金汤的堡垒，却一一沦陷了。究其主因，在于伴随资通讯技术的发展，导致广大消费者的需求与期望，产生极大变化，迫使这些产业必须走出原本封闭运作环境，开始与企业内部网络、网际网络相互串联，造成过去的实体封闭特性，已经不复存在，再加上营运单位对于网安防护意识有所轻忽，才让黑客有机可乘。

在此前提下，政府现正拟定、推动的网安管理法，不仅理所当然地将政府机关纳入管制范畴，也一举将管理触角延伸到八大类关键基础设施，举凡能源、水资源、资通讯、交通、金融、紧急救援与医院、中央政府，及高科技园区通通入列；主要考量点，正是担心这些产业领域如果遭受网安攻击，唯恐引发政府、社会、经济甚至民众生活的巨大动荡，因而迫不得已将属于这些领域的私人企业一并纳管。

建立双层式防御  力阻DDoS来袭

至于其他备受关注的网安事故，毋需多说，大家都很清楚，最重要即是两件大事，一是发生在2017年2月的券商集体遭DDoS攻击勒索事件，另一则是在全球引发不小骚动的WannaCry勒索蠕虫。

针对券商遭DDoS攻击勒索，其实还可以往前、往后各自串联类似事件，形成一个宏观的攻击趋势，包括2016年底肇因于Mirai殭屍网络所引发近乎Tb级的惊人DDoS，以及2017年接近3月时，台湾几十家学校的的网络打印机遭到黑客打印恐吓信。

尽管这些与DDoS相关的案例，最终造成的杀伤力有不小的差距，有的导致众多知名网络服务随之停摆，有的只是虚惊一场、并未酿成灾情，但都让人戒慎恐惧，因为至已证明，可能受到DDoS侵袭的苦主，绝不会只局限于在线游戏、赌博网站或电商等有限的企业组织，各行各业、政府机关与学校都可能中招。

特别是今后随着物联网应用风潮崛起，联网装置数量直线攀升，黑客可以掌握的肉鸡数量随之三级跳，所以今后DDoS攻击流量势必更加猛烈，要塞爆企业的连外网络已是轻而易举之事，企业或机构万万不可掉以轻心，唯有及早建立双层式纵深防御架构－ISP Clean Pipe加上CPE防御，犹如借助净水厂加上家用滤水器来滤除污水杂质，由上层ISP流量清洗中心来抵挡L3/4层次的带宽耗尽式DDoS，辅以下层自家CPE对抗L7层次的资源耗尽式DDoS或应用层DDoS，如此才可望趋吉避凶。

分析内部流量  及早遏阻毒害蔓延

当然比起DDoS，企业或个人更加惧怕的莫过于加密勒索病毒，只因一旦重要档案被加密、且平时疏于备份的话，简直就像是世界末日，什麽事都做不了。

尤其从这回WannaCry来看，勒索攻击似已迈入全新里程碑，从病毒进阶成为蠕虫，可以藉由线上注入方式，主动把恶意程序送进本地端电脑；这也意谓着，倘若企业的员工个个保持良好习惯，绝不点击有问题的邮件附档或URL连结，再搭配企业对电子邮件、网络浏览等两大管道设立严谨安控机制，看似已相当缜密的作为，今后都未必能挡得下勒索攻击。

历经这起风波，不少人都了解，WannaCry是黑客利用攻击工具「永恒之蓝」(EternalBlue)为基础，经过变种加工所打造出来的产物，而所谓永恒之蓝，源自于「NSA武器库」，也就是美国国家安全局辖下黑客组织开发出来的漏洞信息武器，拜外部黑客团队Shadow Broker所赐，把这些武器偷了出来，并在暗黑网络市集拍卖，才让这些原本属于国安层级的武器，「纡尊降贵」到民间市场，进而引发轩然大波。

令人颇为担忧，被Shadow Broker取得的漏洞信息武器，究竟还有多少尚未投放到市场？若真的还有尔后的第二、三、四、五…一直到N部曲，全球的数码应用环境岂有宁日？

更可怕之处，被外泄的漏洞信息武器，还不只有NSA！今年3月期间，维基解密宣布开始以「Vault 7」为代号，陆续揭露美国中央情报局(CIA)的机密档案，据闻有上千种骇袭系统与技术，包括针对苹果iPhone、微软Windows、Google Android及三星的智能电视等多项平台打造的零日攻击程序码。

专家研判，由于CIA流出的这批漏洞信息武器，发展期间介于2013到2016年期间，以「新鲜」程度来说，绝对胜过NSA武器库，因此包含一些较新的操作系统，乃至于物联网或智能电视等创新装置，皆有可能在影响范围之列，对全球企业、家庭或个人的杀伤力，势必强过类似于「永恒之蓝」的旧型武器，值得严阵以待。

无论如何，不管情势怎麽演变，似乎总让人觉得，此刻隐身于地下暗黑市集默默流传的漏洞信息、攻击工具，彷佛都很高明，它们给了黑客团体、甚至黑客产业莫大的养分，只需利用多种Compiler不断繁衍变形体，就能产出一支支足以突穿或绕过企业防御边界的强大恶意程序，这让从事网安管理的工作者不禁气馁，因为不管是现在或未来网安矛与盾之间的攻防战，防守方都明显屈居下风。

但全世界企业的数码转型浪潮，截至目前，尚处于蓄势待发的萌芽阶段，展望未来，必然比现在更加精采可期，谁愈能端出技惊四座的创意巧思，引发消费者广大回响，谁就是市场赢家；面对如此机遇无穷的创新创业竞局，企业岂可因为惧怕黑客、甚至是内贼扯后腿，继而甘愿放弃推动任何创新升级举措？假使消极不作为，势必与市场竞争行列渐行渐远。

因此企业的CIO、乃至决策高层，若不想看到自己的公司，因为害怕网安攻击而放弃创新、错失商机，则此候必须要做的，绝不是向黑客举白旗投降，或对威胁情势视而不见，应化被动为主动，设法建立威胁情资蒐集机制，让自己早一步了解世上网安攻击形势，剖析这些攻击从何而来、利用哪些漏洞下手，再回头检视自己，评估这些威胁是否可能危及自身关键资产，如果是，便赶紧就教于专业网安顾问，及早修补系统弱点、优化调整网安政策，好让自己不会轻易惨遭荼毒。

另外以往企业只想阻绝敌军于大门之外，鲜少思考万一敌人悄然入境，或是敌人根本就是自家不肖员工，该怎麽办？亡羊补牢，为时绝对不晚，赶紧强化内网流量侦测、行为分析的能力，力求在异常现象发生的当下，就能有所掌握，如此才是网安王道。