駭客確實以台灣做為駭客攻擊試驗場,FireEye副總裁暨全球政府機關技術總監Tony Cole訪台,揭露2014年下半年,台灣在亞洲國家中是遭受惡意駭客攻擊的第二名,台灣APT攻擊占54%,相較於其他亞洲國家還嚴重。從2014年第三季到第四季,台灣的APT攻擊成長26.4%,平均每一季平均成長6.6%。
Tony Cole說,根據台灣客戶的資料來看,台灣有70%以上的機器偵測到APT攻擊,比全球平均的35%高一倍。
台灣APT攻擊的特性遍布大部分產業,駭客並不會只鎖定其中1到2個產業。台灣被攻擊最多的產業前三名是占25%的醫療、占21%的政府及占20% 的電信。Tony Cole指出,其他國家政府對台灣的APT攻擊會聚焦在重大產業,例如科技業和政府單位;而犯罪組織對台灣的攻擊則會著重醫療和零售業等有個人隱私的資 料,因為醫療資料有保險資料及病歷,也跟安全驗證和患者的財務資訊連動。
(圖說:FireEye副總裁暨全球政府機關技術總監Tony Cole訪台受訪。圖片來源:FireEye提供。)
Tony Cole指出,APT駭客攻擊手法分成五個步驟,首先是駭客入侵建立灘頭堡、偷組織內部的帳號密碼、用帳號密碼在內部水平擴散、持續從遠端遙控主機電腦存取資源、最後的目標是偷走機密資料。
(圖說:台灣遭APT攻擊最常見的手法(圖左)及產業別占比(圖右)。圖片來源:FireEye提供。)
要成功阻擋駭客攻擊,最重要的是第一個階段要能成功偵測並阻止,因為使用駭客工具被發現,不然後續的步驟惡意駭客往往使用正常的工具和管道來進行,會讓企業在防禦過程中,非常難以偵測駭客是否已經入侵。
此外,從駭客進入新系統到企業或政府單位發現被入侵,空窗期從2013年的229天,進步到2014年的205天。Tony Cole說明,在205天的空窗期期間內,攻擊者會潛伏在組織內部暢通無阻,然而組織內部卻不會發現。
比較嚴重的情況是,有69%的客戶是由第三方通知才知道自己被入侵,不知道自己被攻擊。企業沒有準備好,也沒有自我發現的能力。
(圖說:FireEye列出駭客做APT攻擊時的五大步驟。圖片來源:FireEye提供。)
要如何因應APT攻擊呢? Tony Cole指出,首先要認知APT攻擊並非過去想像的惡意軟體而已,背後操作的惡意駭客隨時都在修正,看最新的趨勢找方法攻擊。
其次,面臨日益升高的攻擊威脅,要建立企業對企業、企業對政府,甚至是政府對政府的公開即時分享機制。67%的惡意程式只會出現一次,而85%惡意程式在一小時內會消失,並從此不再出現。會攻擊A單位的駭客也會攻擊B單位,要自動分享才能達到聯防的效果,所以Tony Cole建議台灣政府要建立即時分享平台,並獎勵企業做匿名通報。
例如FS-ISAC銀行金融組織,全球有5千個會員,透過自動機制分享威脅資訊。美國也由民間建立ISAO(Information Sharing and Analysis Organizations),讓企業匿名分享資訊。
事實上,HITCON台灣駭客年會在1月已推出漏洞回報公益平台VulReport,另外,行政院副院長張善政也在4月1日推出資安政策2.0三大政策,也希望能加入美國主導的「網路風暴」(Cyber Storm)網路攻防演習。台灣資安的弱點多,民間及政府看來都有動作,希望資安防護的腳步要再加快。
- 本文轉載自數位時代
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!