狂收釣魚網址?台積都曾中毒停機 你該做的「零信任」4件事

【文.鍾張涵】

政府管制中國資通產品,卻連帳號密碼都不換,公私機構飽受駭客攻擊勒索,民眾老收到釣魚簡訊。要達到真正的資安,得從對所有人都「零信任」做起,內有自我檢視清單。

政府近年以「國家安全」為由,要求各級機關禁用以華為、海康、大疆為首的中國品牌資通產品。但一名轉任民間企業資安長的退休警官直言,其實警界「只能應付一下,也不可能一個一個檢查。」

「防不勝防,」他感嘆。

事實上,不僅台灣,全球去中國化均面臨困境。為了解決這個問題,從去年起,資安新風向自美國吹來台灣:零信任(Zero Trust)。

意思是不只針對中國設備進行管制,「是所有東西(人事物),我都不信任!」資安大廠趨勢科技台灣暨香港區總經理洪偉淦定義。

美國總統拜登2021年5月簽署「關於改善國家網路安全14028行政命令」,要求「聯邦政府等機構必須朝零信任架構(Zero Trust Architecture)邁進,加速發展出更安全的軟體即服務(SaaS)、基礎設施即服務(IaaS)、平台即服務(PaaS)等雲端服務。」

這紙行政命令的起火點,是2021年5月7日,美國史上最嚴重、最具破壞力的駭客攻擊。

黑名單禁中國品,擋不了駭客

當天凌晨5點,美國最大輸油管線營運商「殖民管線」(Colonial Pipeline)發現,系統已被東歐知名駭客組織「黑暗面」(DarkSide)駭入,駭客透過勒索軟體將公司近100GB重要數據鎖上,電腦螢幕出現要求支付75比特幣贖金(約1.23億台幣)的文字。

這條「輸油大動脈」長達8851公里,從德州一路延伸到紐澤西州,運輸美國東岸45%燃油。

即使美國國防部、資安專家、聯邦調查局都介入與駭客周旋,營運仍停擺了6天。美國民眾爭先恐後搶油,華盛頓特區、維吉尼亞、喬治亞等18州宣布進入緊急狀態。

「拜登終於明白,資安危機的嚴重性,」曾在美國多年的安永管理顧問總經理萬幼筠說。

這是美國資安關鍵轉折。CNN將之喻為警鐘,凸顯川普即使禁絕關鍵基礎設施使用中國產品,駭客仍然可潛伏、攻擊,基礎設施依然脆弱。

拜登在事發後5天發布行政命令,語重心長指出,美國面臨日益複雜的惡意網路活動,威脅公部門和私營部門,最終威脅美國人民的安全。

他要求美國國土安全部、公部門、民營部門「制定、實施零信任架構」。

美國遵循的美國國家標準與技術研究所(NIST)SP 800-207標準文件,以長達50頁內容說明零信任架構。其準則是,將用戶帳戶、裝置皆預設為不信任,須通過多重驗證,才能依據機構內的控管政策,配置資源、存取權限。

零信任新精神,層層關卡驗證

「零信任不是一個產品,而是一個觀念、一個資安強化的過程,」洪偉淦指出,就是「無論內外網一視同仁,做到永不信任;一再確認是『對的人』才能進來;假設自己已被入侵」三個情況。

跟過往觀念不同,洪偉淦解釋,古代城池是設置邊關要塞:築起城牆抵禦外侮,強化邊界防禦。但如今,駭客透過隨機密碼暴力破解、寄送釣魚網址或詐騙郵件就能輕易取得員工帳密,突破企業防線。

「現在的數位環境已形成兩種現象:第一,城牆千瘡百孔、慢慢崩潰。第二,牆內人也不能信任,」洪偉淦說,只要使用軟體,就不安全,並非只有中國產品不安全。

2017年最知名的勒索病毒WannaCry就是利用微軟漏洞,短短數小時席捲逾150國、癱瘓數百萬台設備。台積電隔年也因機台中毒,機台停擺3天,損失高達52億。

台灣微軟客戶成功事業群總經理李乾瑋認為,透過零信任架構,能擋下九成以上的攻擊!這個樂觀估計是有依據的,微軟數據顯示,當裝置遭受攻擊,攻擊者開始在企業網路內橫向移動,所需時間平均約1小時42分鐘。

零信任就是設定重重認證關卡,一再確定這是「對的人、有對的權限、在對的裝置,做有限且安全的存取,」李乾瑋說,不斷把關的過程中可創造機會,發現並排除駭客。

被勒索過,研華設監控斷網

工業電腦大廠研華資訊處IT基礎架構團隊資深經理林信宏,對此有切身經驗。

兩年前的冬季,上午6點,林信宏一早驚聞研華美國的伺服器無法連線,隨後研華中國、台灣接連傳出災情:遭勒索軟體攻擊、系統停擺,駭客要求支付3.95億台幣贖金才肯解鎖。

當年研華找來微軟、趨勢助陣,從駭客手中奪回最高管理權,耗時一週重建網域、用備份復原。

「被打過一次都學會了,」林信宏說,研華全球有50多個事業單位,很多遠端業務部門。去年透過微軟導入零信任架構,「現在就是:處處有關卡、到處有檢查。」

如今員工無論用Wi-Fi或有線網路,只要連線公司都得驗證身分2次以上,不只手機、電腦交叉驗證,且每當連接一個新的端點(平台或資料夾),又得重新驗證。

員工電腦會被要求更新軟體版本,修補程式也都要補上,必須身分、裝置、軟體都確認「乾淨」,網路才會通。

最重要的是,「無論公司同仁或分處同事,都當成駭客,」林信宏說,除不斷驗證身分,還會持續監控、分析,一旦帳號動向異常、有意接觸不符身分的資料,就直接斷網。

在中美台關係緊張之際,台灣必須盡快採取零信任架構。

釣魚信大增,可能是中共布樁

洪偉淦指出,根據趨勢統計,近半年來,台灣監控到的網路攻擊大幅提升,80%針對政府相關部門或基礎設施。同時間,企業內釣魚郵件大增,甚至假冒政府網域,以多達665種變形網址來釣魚。「中國網軍在積極布樁,」他推測。

8月初,美國聯邦眾議院議長裴洛西訪台期間,總統府、國防部、外交部網站攻擊流量較平日高出23倍,台電外網系統8月3日受攻擊次數高達490萬次,台鐵新左營站大廳螢幕,更被駭客以簡體字寫上「老巫婆竄訪台灣」。

「台鐵電子看板跟台灣許多監視器一樣,用公版軟體,帳號密碼不改、漏洞沒人補,」洪偉淦說。

他強調,智慧城市有太多連網裝置,「不用陸製產品就很安全」是錯誤思維,正本清源的方法是防駭客入侵、政府跟企業增加資安預算、培養資安人才。

萬幼筠也認為,政府掃蕩中國品牌無人機或安控設備,是「頭痛醫頭、腳痛醫腳」,台灣應跟隨美國,由總統府責成民間和公部門落實零信任架構。

美國國防部還提出「資通安全成熟度模型認證」,要求與國防部做生意的供應商,必須達到不同程度的安全等級,才能承包其業務,預計2026年全面實施。

萬幼筠說,零信任是資安地基、鋼筋水泥,如此才能向上穩住台灣供應鏈和基礎設施安全。

即使是美國都承認,許多機構必須因此重建或更換大部份現有IT設備,「零信任的道路是逐步強化的過程,需耗費數年時間。」

但這是必經之路。「資安,是你跟駭客的軍備競賽,」洪偉淦說,這才是禁制中國產品外的真正解方。

【延伸閱讀】

獨家|全台第一個!電支直接扣款買基金 全聯全支付的真正野心

22年前沒人看好 黑手老董如何廣發英雄帖,孵出台灣第一支數位扳手?

高通膨、高息、經濟衰退消息不斷!現金、債券、股票該如何佈局?

學歷只有國中 全台最強女棋士黑嘉嘉:姊姊考100分,但我是我

花錢容易省錢難!「存不了錢」的12個地雷,你中了幾個?

※更多精彩報導,詳見《天下雜誌》網站。

※本文由天下雜誌授權報導,未經同意禁止轉載

相關新聞

九合一選舉衝擊!大敗後請辭黨主席 「尊蔡」仍是綠營唯一選擇?

【2022九合一大選】民進黨在這次地方選舉,輸到只剩二都三縣,黨主席蔡英文第一時間請辭。誰將是綠營新共主?儘管外界認為,蔡英文此後跛腳,但熟悉民進黨內局勢者認為,黨內仍有機率遵循「尊蔡」路線。

精準投中特斯拉、第一個撤資中國 矽谷傳奇創投看好哪8間台灣公司?

特斯拉、SpaceX的早期投資人,矽谷傳奇創投家崔普(Tim Draper),14日持就業金卡旋風訪台。他直言,提到習近平就起雞皮疙瘩,認為鎖國是經濟下坡的開始。他怎麼看這次的FTX風波與明年景氣?

台積電亞利桑那廠晶片 庫克:蘋果全包了

蘋果庫克在德國透露,以後的晶片主要來自亞利桑那州工廠。彭博社報導,就是台積電的廠!

看不順眼的員工「像垃圾扔掉」就對了?馬斯克式管理會改寫MBA教材嗎?

管理學者紛紛指出,馬斯克鐵腕、直覺式、「什麼都發上網」的管理作風,與過往成功的企業領導者相悖。

買房還可再等等?連兩月成交量縮 2現象看出房價已隱形下跌

今年房市上熱下冷,近兩個月交易量急凍,市場價格更已在調降,甚至有新成屋一個月內開價就調低百萬。漲多就是最大的利空,這一波房價大漲後的後座力,會如何引導房市走向?

最考驗免疫力的冬天要來了 新冠、流感、RSV「三疫齊發」怎麼辦?

新冠疫情才趨緩,流感已經蠢蠢欲動,加上呼吸道融合病毒(RSV)攻城掠地,讓許多憂心的家長帶著孩子在急診等床住院。三疫共同發威的凜冬,怎麼度過?

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。