APT27駭客組織對台宣戰，政府與關鍵基礎設施該如何抵禦資安攻擊？

文：周裕華（Kent Chou）

自稱APT 27的駭客組織於8月4日晚間上傳一支影片到YouTube，聲稱將針對台灣政府以及關鍵基礎設施發起一連串癱瘓網路行動。更在三天後於第二支影片中表明對台灣的行動已經告一段落，說其已對內政部警政署、交通部公路總局、台灣電力、總統府、金智洋科技、財金資訊公司、神腦國際等組織進行了不同程度的攻擊。

APT 27更提到，它掌握有台灣設備的零日漏洞、政府資料和超過20萬的連網設備資料，威脅台灣日後若再挑釁，APT 27就會使用現有劫持的資源來發動攻擊。

這對台灣政府以及關鍵基礎設施，可能會有什麼影響？

我們可以從這次攻擊中看到，許多攻擊的目標為政府或企業的委外廠商，雖然對政府及企業本身是不具有一定性的影響，但這也直接造成人民的恐慌，使人民開始擔憂起國家的資安問題。

畢竟，我們都不想看到台灣成為下一個烏克蘭，因資安防護不足導致國家陷入經濟與生活困難。但事實上，目前這些攻擊對整體國安及企業安全並不會造成絕對的傷害，畢竟這些網路與系統是與關鍵網路分離的。

APT 27駭客組織可能會有的許多攻擊方式。其中包含網路、社交工程、DoS等攻擊手法，相關的關鍵基礎設施應加強持續監控所有威脅可能的接觸點，避免關鍵基礎建設受到網路攻擊造成更巨大的損失。現階段許多與民生相關的媒介或是政府機關對外傳遞資訊的媒體，都需要更加的注意是否會造成攻擊點的產生，畢竟這些都是在整體資安上最脆弱的一個環節。

為什麼關鍵基礎建設如此的重要，正如生活中不能沒有水跟空氣一樣，其關鍵性在於維持人民的基礎生活所需，若是關鍵基礎建設遭受到攻擊而癱瘓，對民生及經濟都是一莫大的打擊，我們也無法想像打開水龍頭沒有水、沒有電力提供的生活。

這些組織的資安團隊，應該採取什麼防護？

長期以來，委外服務是最難管理的，相關的服務僅限於服務提供，卻往往在資安的議題上都涉足不深。

原因是什麼呢？成本！

例如，廣告服務的推播，實質上更注重在內容的呈現，而不會著重在後面推播的系統中應該採用什麼樣的資安規範。IT及OT的生態中，都會面臨到如此重要的關鍵問題，委外單位連線存取、軟體更新、硬體維護、遠端控制等等，這些都是資安團隊需要關心的，畢竟層出不窮的事件都一再的呈現這事實。

那麼，什麼需要注意的？

1. 委外單位的資安規範需更明確，包含連線控制、軟體更新、推播限制及邊界管制等等的資安規範。
2. 企業需將委外服務納入企業資安的管控範圍內，避免因為委外廠商的因素造成企業及社會損失。
3. 需要更明確定義資料交換的流程，採用零信任的基礎進行資料交換，所有的檔案都不信任，透過嚴謹的規範及技術控制唯一能使用的範圍。
4. 深入盤點可以接觸到外界的檔案（即使是備份，也需要確認備份的檔案是乾淨的），避免當駭客發起攻擊時成為被利用的武器。
5. 定期更新，雖然是老調長談的措施，但卻有許多的系統無法更新到最新的版本，這著實都成為駭客的主要武器。
6. 應用程式弱點監控，了解企業內部應用程式的管控，避免存在弱點的應用程式持續被使用。
7. 限制性軟體，其中也包含了非法軟體及所謂的PUA軟體，企業應避免非法的軟體使用，因為它並不是存在於可控制的範圍內。

Photo Credit: 中央社

台灣政府應該如何回應這類威脅？

對於現階段政府單位所面對到的問題來說，台灣政府已經達到高標準在處理問題，也許我們會認為政府網站無法運作是一個很嚴重的問題，但其問題並不是被入侵，而是利用網路攻擊的方式使網站回應癱瘓：就好像是先前的疫苗系統一樣，當太多的請求發送到網站時系統無法處理這麼多的請求，而造成的短暫服務問題。

這類的事件都需要時間進行回復，所以我們應該相信政府的能力，但針對企業來說，是否已經準備好足夠的應對措施去有效防禦相關攻擊事件，企業內部究竟還存在多少被劫持的資源等著被駭客利用，即便有了備份、高可用性措施，都應該更注意在每個接觸點上的有效防護。

政府及企業的網站、系統，都存在許多資料交換的服務，這些關鍵服務也需要被檢視，是否能夠完全的信任民眾或企業交換或上傳的資料，其中會不會包含惡意程式導致攻擊的事件產生；此外，政府機關中也採用了許多的委外服務，這些都需要在資安的範圍內進行規範，去避免真正的攻擊事件癱瘓我們的關鍵基礎設施，避免委外的資源變成攻擊者利用的武器。

如何才能有效地避免攻擊事件發生？

惡意組織最常使用的攻擊方式就是尋找弱點（vulnerability），或是利用釣魚郵件（phishing）等等的特性誘使人員執行其攻擊性武器，可能是經由惡意連結下載，亦可能是經由惡意程式來執行弱點利用，這都是我們需要注意的關鍵問題，畢竟沒有一個解決方案能保證百分之百的防護到所有的攻擊；但是，假使我們在一開始就不信任所有的檔案交換，那麼是否會有所不同呢？

網路攻擊手法日新月異，以零信任為架構才能打造安全的網路環境。

零信任意旨不相信任何的文件並假設所有文件與設備都帶有威脅，而威脅更有可能從四面八方而來。因此所有文件與設備都需要以零信任原則謹慎處理。企業與組織最需要的資安解決方案是能在不改變原有資訊架構下，快速建立以零信任為核心的新世代資安防護機制，同時保護遠端辦公機制的安全。

以零信任為架構的DEEP CDR（檔案無毒化）技術就是針對攻擊提供百分百防護的關鍵；在一個零信任的基礎下，提供資料交換服務時，洗淨所有不應該存在的因素，例如：ActiveX元件、巨集或是惡意連結等等的攻擊武器，當檔案進到企業內部時，就是絕對乾淨的一個狀態，不具有所有威脅的因素。

而且，這是在攻擊階段中的前期防護，並不是在惡意程式進入到企業環境後才開始進行處理，就像疫情期間我們都不希望把病毒帶進家中，所以盡量在進門前就能徹底消毒一樣。

最後，如同政府於2021所推出的「資安即國安2.0戰略」，不論政府、企業或人民，我們每個人都應重視資安的重要性並且落實安全防護。

作者簡介

現任OPSWAT技術顧問。在資訊安全領域中擁有超過12年的專業顧問資歷，同時也是專業的資安技術專家。 擅長於產品整合應用、規劃及安全事件處理、分析，並包含端點、伺服器、網路及郵件等領域之安全防護，資訊安全防護等應用規劃。曾擔任賽門鐵克大中華區首席技術顧問，負責各項產品技術及資安解決方案建置、應用及分析，提供企業用戶資料安全、規範、保存及資訊安全事件處理等顧問服務。

延伸閱讀：

• 怒罵裴洛西「戰爭販子、老巫婆」，刑事局證實超商、台鐵、路邊廣告看板螢幕遭駭客攻擊
• 總統府遭駭客入侵並散布文件，調查局報告指4種可能入侵途徑
• 北韓的駭客能力有多強呢？是連韓國都讚譽有加的「世界前五名」

【加入關鍵評論網會員】每天精彩好文直送你的信箱，每週獨享編輯精選、時事精選、藝文週報等特製電子報。還可留言與作者、記者、編輯討論文章內容。立刻點擊免費加入會員！

責任編輯：丁肇九
核稿編輯：翁世航