專家傳真-高科技業屢成駭客目標 資安思維應轉守爲攻
面對資安風險,企業應針對全球駭客攻擊方式進行模擬演練,才能化被動爲主動,強化防禦體質。圖/本報資料照片
臺灣在半導體、5G 通訊、電動車與物聯網等未來新興科技發展上,具備研發、生產及零組件供應能力,在國際供應鏈中扮演重要地位。然而,近期國內高科技製造業遭駭客攻擊事件頻傳,讓資安即國安問題再次受到矚目。臺灣一直是全球駭客的攻擊熱點,儘管企業已開始着眼於處理如勒索軟體或病毒等特定攻擊形式,這些卻可能只是攻擊者衆多攻擊技巧中的一招半式。企業真正需要思考的關鍵,應是建立「駭客思維的模型」,從攻擊者的視角來進行資安策略規劃、長期對抗網路威脅。
一般而言,企業在遭遇攻擊後,第一時間總會直覺想到防毒軟體或資安設備爲何沒有用。現實是,不管是針對式的進階持續性威脅攻擊(Advanced Persistent Threat,APT),或是任何具經驗的攻擊者,都會對目標進行情報蒐集,來達成長期潛伏或規避探測。這當然也包含研究繞過企業防護或監控的各種方式,讓一般的防禦無法生效。
根據我們長年進行紅隊演練的經驗、及對近期重大資安事件的觀察,製造業容易遭到駭客鎖定有四大主要弱點:
首先,科技製造業多半屬於跨國企業,這樣規模的企業暴露在網際網路的服務相當多,一旦這些服務存在可利用的弱點,容易形成破口或直接造成資料外泄。其二則來自第三方供應鏈廠商。這種預設信任的模式存在高度風險,加上對於整體資訊資產可視性的不足,以致於無法全盤檢視信賴關係,造成內部軟硬體易遭入侵的資安風險。
其三是對於攻擊者不夠了解,制定了缺乏韌性的防禦策略。舉例來說,因爲認爲製造機臺或OT環境缺乏較完善的解決方案,而決定將防守策略設定爲「決戰境外」,將攻擊阻擋於企業網路外部。這種方式卻可能導致內部網路、內部營運網路架構、或核心系統防護極爲脆弱,只要攻擊者成功進入內部網路,便會對企業造成極大的威脅。最後,是資安意識的缺乏。提供售後服務的員工電子郵件信箱,會接收大量外部消費者的需求,使其容易成爲社交工程(Social Engineering)攻擊的破口、甚至會有針對高階主管進行的釣魚攻擊,進而直接取得公司重要權限與資訊。
企業必須留心:有時攻擊事件發生,並非入侵的手法詭譎難以抵禦,相反地,像是電子郵件、網路釣魚等傳統手法,利用人性的弱點,仍然可以成功滲透進企業的防護網。當萬物皆聯網,成爲萬物皆可駭。在臺灣高科技製造業邁向智慧製造的今日,駭客攻擊與威脅型態也變得更難以防範。近幾年,國內企業對於資安的意識與資源的投入逐漸提升,許多企業不再只是仰賴單一的資安設備或服務,而是跟隨國際趨勢導入威脅情資、行爲分析、端點監控與迴應等一時之選的解決方案。然而,資安是一場攻守雙方資訊不對稱的戰爭,防禦者不清楚攻擊者的思維跟手法,僅憑藉着自己的知識與想像進行防守,很可能受到侷限。
孫子兵法有言,「知己知彼,百戰不殆」,駭客攻擊中敵暗我明,我們認爲臺灣高科技製造業要思考的是建立一個長遠的防禦戰線。唯有更加了解攻擊者,透過長期針對全球駭客攻擊方式進行模擬演練、時常盤點風險之所在,才能化被動爲主動,持續強化企業的防禦體質,而不僅是頭痛醫頭、腳痛醫腳。
在資安領域的「紅隊演練」,是以企業營運最關鍵的資訊資產作爲演練標的,並模擬組織型駭客的攻擊模式:透過外部情報蒐集、取得外部系統權限、在企業內部的系統進行移動、持續取得更多內部伺服器權限、破解密碼,最終達到企業指定的關鍵資產執行演練情境。而企業透過高強度且精準的演練過程,除了立即知道對營運造成的重大風險外,藉由掌握可被入侵的路徑,來釐清各個節點在防禦策略規劃、管理或技術實作的問題,進而能在面對真正駭客的攻擊時將影響降到最低。
只要企業對駭客存有戰略價值,組織型的攻擊就不會停歇。期許臺灣高科技製造業在檢視資安防禦策略時,都能以「駭客的思維」不斷的挑戰自身企業的弱點,定期盤點資源與風險的關係,優先將資源投注在真實而非主觀的威脅,免於受害之餘更能協防全球供應鏈的整體安全。