被駭 11 個月才發現?趨勢科技安全研究全球副總裁 Rik Ferguson :台灣資安環境低於全球平均值

「台灣資安環境低於全球平均值,台灣高科技製造業遭受 APT 攻擊的入侵天數平均高達 346 天,而全球平均約為 220 多天。」(按:關於 APT 攻擊的解釋,可參考 〈世界網戰一級戰區:APT 攻擊一波波看似守也守不住!台灣受駭了嗎?〉)

《TechOrange》上週受邀參加趨勢科技舉辦的「CLOUDSEC 2013 企業資安高峰論壇」,會中,特地飛到台灣與會的趨勢科技資訊安全研究全球副總裁 Rik Ferguson 對台灣科技製造業的資安水準提出警告。

科技製造業最怕商業機密外流,也是最注重內部資訊安全防範的產業,如禁止訪客攜帶連網裝置入廠、對員工持有的手機裝置設有嚴格規定等。不過,在行動裝置和雲端產業蓬勃發展的當下,上述這些防範措施愈來愈難達成。

員工使用自己的裝置登入公司系統、攜帶自己的裝置進公司工作(BOYD,Bring Your Own Device)已成為常態,員工也習慣於把資料儲存在雲端硬碟。這些看似順應發展也非常方便的做法,卻使得企業對於資訊安全掌握能力逐漸降低;再加上駭客攻擊手法不斷翻新,傳統資安防禦那套防火牆、防毒軟體、入侵防禦系統愈來愈不夠用。

台灣政府和民間抵禦 APT 攻擊的能力有多弱?根據趨勢科技剛公布的 台灣 APT 白皮書 ,高科技製造業平均需要 11.5 個月才發現已受駭、遭到入侵,金融業則為 9 個月,政府單位要 8.5 個月,關鍵基礎設施(油水電等)則是 8 個月,才會察覺自己受駭了,等發現的時候,很多重要資料都已經被偷走。

Rik Ferguson 會後接受媒體聯訪時還說到,根據趨勢科技的資料,光是在 2013 年 Q3(至 8/27),平均就有 140 萬個惡意網址(malicious URL)源自台灣;平均有 7,730 萬封垃圾郵件(Spam Mail)源自台灣的 IP,在全球排名第四;台灣也是全球前五名受銀行惡意軟體(banking malware)攻擊的對象。這些數據分別顯示,台灣有為數不少的電腦成為黑帽駭客控制的 BotNet(殭屍網路,被控制的電腦會被用來發送垃圾郵件、封包、惡意連結);更有許多駭客利用台灣網路環境作為跳板,寄送垃圾郵件(spam mail);以及銀行的網路交易安全防護不足。

針對如此惡劣的網路環境,Rik 針對企業和個人給了不同的建議,記者會問答簡單摘要如下:

記者問:為什麼企業會找不到有人對他們發動 APT 攻擊?

Rik 說,傳統的資安防護作法是建立一個高牆、一座城堡,把壞人擋在外面,企業就可以安穩地待在裡面。但就如同上面說到的,現在企業要管掌控的裝置變多、變得分散,加上壞人變得更深不可測,因此我們要做的是往塔外看,看那些要進來的人長什麼樣子,找出他們攻擊手法、怎麼進來的。

「如果你一直處於防備的狀態中,那你的防備得要每次都成功、無法容許一次失敗、一個弱點;但如果你主動出擊,那你只要成功一次就夠了。」

至於怎麼主動出擊,多要倚賴資安公司的技術,看他是否能隨時掌握最新的網路攻擊手法,並能在網路環節裡快速找到對方向、追蹤到攻擊源頭。

記者問:台灣現在愈來愈多網路新創服務,安全的系統、平台該怎麼建置?

在台灣產業進入轉型階段,除了加工代工,也開始有網路新創公司出現,這些網路公司對資安的需求更是迫切。當網路公司蒐集了使用者資料,甚至是敏感的交易資料,Rik 認為,他們就就有責任確保使用者個資的安全。

企業的資安防護重點在於管理與基礎架構。但 Rik 提到,企業之間常有個通病,就是以為資安作業只要在硬體、資料庫、伺服器、系統、平台都建置好之後,再丟給資安小組說:「把它們變安全吧」。

正確的資安作業應該在建置基本架構時,資安小組就分散到各組、把資安落實到每個環節中。

沒有資安專業員工的公司,也可以聘請資安專家當顧問,但重點還是一樣,不能等一切架構都建置完成時,再請他們來「把它變安全吧」。

記者問:台灣成為駭客跳板,該怎麼解決這個問題?

Rik 唯一的答案是:關掉 Port 25。ISP 服務商有管制的去開放特定人士申請使用 Port 25,這樣就能把發送惡意郵件的機會給抹除。

寄送電子郵件時,會需要透過 SMTP(Simple Mail Transport Protocol 簡單郵件傳輸協議)伺服器,而標準外寄伺服器的連接埠是 25,即 Port 25。

一般使用者使用 Web Mail 如 Gmail、Hotmail 時,並不會用到 Port 25,就只有企業專用的郵件系統,或是駭客直接下指令寄送大量惡意郵件、免去 Web Mail 複雜的操作流程時,才有需要用到 Port 25。

因此關掉 Port 25,若有需要的人再去跟 ISP 服務商申請,是不讓台灣成為惡意郵件發源地的方法。Rik 提到,去年印度也是榜上有名的惡意郵件發源地,在他們關掉 Port25 之後,也關掉了這個做壞事的機會;在印度失去機會的駭客,也就隨著機會來到台灣了。

記者問:個人可以怎麼保護自己的裝置免於駭客入侵的危險?

首先,最關鍵的就是「隨時更新軟體」,不僅僅是執行 Windows 要求的更新,只要有任何軟體要你更新,就按確認吧。

雖然也曾有過駭客把更新檔帶換成惡意程式的例子,但那畢竟是少數。多數時候,更新檔不只是讓軟體升級,更是用來修補程式中的漏洞,因此不論是 Windows update、Adobe Reader、java、瀏覽器,甚至是手機中的 App,都要盡可能保持在最新狀態。

第二是「提高警覺,不要亂點開來路不明的連結或檔案」。即使是認識的朋友傳過來的訊息,Rik 也都會再三確認這確是對方親自傳來的、有用的訊息。

第三則是「安裝防毒軟體」。Rik 把安裝防毒軟體比喻為「買保險」,你肯為人生買保險,電腦中珍藏了那麼多重要資料,難道不該為它買保險嗎?

「CLOUDSEC 2013 企業資安高峰論壇」由資訊安全軟體和解決方案廠商趨勢科技主辦,共計在亞太地區八個國家舉辦,鎖定企業管理階層 CXO,共同探討企業資安議題,包括雲端資安、APT、虛擬化、個資法以及 BYOD 等。

  • 預告:Rik 製片,未來網路戰樣貌《2020》即將上映

順帶一提,Rik 也參與趨勢科技許多資安宣導影片的製作及拍攝,擁有藝術學位的他,把許多資安宣導片拍得像是電影一般,一部關於未來網路戰爭樣貌的影片《2020》預計在 9 月底亮相。

APT 攻擊: 一場沒有中立國的戰爭 (真實案例模擬)