行政院资安会报技服中心主任 吴启文(摄影/iThome)
观察台湾政府当前所面临的资安风险,行政院国家资通安全会报技服中心主任吴启文认为,可以先从世界经济论坛(WEF)列入的科技风险,作为参考指标——在科技风险的排名变化来看,网络攻击从去年的第六名提升到今年的第三名,资料欺诈或窃盗则从去年的第五名提升到今年的第四名,另外,有一个没有列入前十名、却与各国政府资安息息相关的选项,就是关键资讯基础设施崩溃。
为了因应层出不穷的资安风险,他说:“政府去年开始针对G-ISAC转型成国家级的N-ISAC(国家级资安资讯分享与分析中心),并于今年1月正式运作;预计今年底完成N-CERT(国家级电脑网络危机处理中心),明年则会完成复杂度更高的N-SOC(国家级资安监控中心)。”
台湾资安威胁型态多变,APT仍是重点威胁吴启文指出,APT攻击过往主要是锁定政府部门,但到了近期,骇客都关注台湾发生的重大新闻事件,并利用这些重大事件发送与事件相关的恶意邮件,让相关的公务部门人员无意之间开启这些恶意邮件,增加恶意邮件的成功率。
根据技服中心的统计数字,2017年恶意邮件数量大幅降低,甚至出现2017年恶意邮件的数量,是2016年某个月份恶意邮件数量的千分之五的比例,但吴启文提醒,除了政府对于这类恶意邮件的防御有成效之外,更值得观察的是,骇客锁定的APT攻击目标,已经更精准且手法更复杂,并不能掉以轻心。
如果更进一步追踪并分析骇客攻击行为,吴启文指出,技服中心观察骇客所使用的中继站,已经出现变化——早期是使用一般个人电脑与伺服器,植入后门程式之后,便远端操控桌面软件进行控制;中期则以网络设备包括路由器为主,通过内建VPN功能,将流量转到上层的主控端;近期则以云端服务短期租用为主,通过快速更换对应网域方式,可以规避各种资安产品的侦测,往往也造成追查骇客来源的困难度。
吴启文表示,现在许多骇客都会利用共用性系统与云端服务,作为入侵的管道。首先,锁定单一公务机关或委外厂商的电脑,作为发动APT攻击的滩头堡;其次,入侵包括AD(目录服务)伺服器, 窃取内网的通行证;紧接着,骇客可能窜改共用性系统软件的共用机制,渗透共用性系统;然后,骇入使用共用性系统的公务人员电脑,进行跨机关的全面渗透;最后,则是进行资料的窃取,目标是储存在公文、档案系统和资料库,甚至是云端硬盘的重要机敏资料,并对外回传给骇客组织。
吴启文也以去年政府部门实际爆发的资安事件,来说明相关状况。他指出,网页攻击事件数量最多,超过四成(40.21%),爆发资安事件的原因,依序是网站设计不当、应用程序漏洞,以及采用弱密码等因素。但可惜的是,许多政府机关都没有保留完整的记录档(Log),以致于无法确认资安事件真正发生的原因。他也说,若分析这三年政府机关资安事件的发生原因,应该可以发现,部分受骇的设备类型,已经转成物联网装置。
根据技服中心统计,去年政府机关遭骇的管道,最多就是通过网站伺服器入侵,就发现骇客组织ifactoryx利用没有修补的网站漏洞,攻击台湾34个政府机关网站,进行网站的网页置换,总计有44网站受骇。
而基于资安业者的调查发现,这些受骇网站都使用旧版的网页编辑器Fckeditor,而骇客就是利用Fckeditor漏洞发动攻击。吴启文表示,系统业者协助政府机关单位从旧版Fckeditor,升级到新版CKEditor△4.6.2,并于官网提供漏洞修补资讯,让其他没有维护合约的机关可以从官网,自行下载漏洞修补档案;另外,为了确保安全,也协助移除Fckeditor档案上传功能的套件与调整设定;网站若有上传档案需求时,则限制档案类型,并针对该目录,移除执行档案的权限,避免骇客上传恶意程式并且执行。
资安是机关风险一部分,从PDCA着手资安防护“资安管理是一个PDCA的循环,”吴启文表示,资安是机关风险的一部分,应将资安认知提升到全机关单位,并通过资安治理的模式,提升对资安的正式程度。而根据2017年到2020年制定的资安发展蓝图来看,为了达成打造安全可信赖数位国家的愿景,我们需要达到几个目标,例如:建构国家资安联防体系、提升整体资安防护机制,以及强化资安自主产业研发。
他也进一步指出,在政府资安绩效指标的达成上,以完备资安基础环境。若要做到这一点,除了需完成资安管理法的立法程序,以及建立IoT资安检测环境,并且推动安全认证标章外,最重要的就是,建立政府资安治理模式,推动政府机关资安治理成熟度自评,或第三方评鉴,就可以达到第三级(Level△3)指标。
在建构国家资安联防体系的目标上,需要循序渐进。例如,先建置关键基础设施领域的ISAC、CERT以及SOC,然后进一步提升到完成跨域资安联防体系,建立国家级的N-ISAC,并于今年1月执行,年底会完成N-CERT的建置,预计明年完成N-SOC,并建立地方政府区域联防体系;此外,也要精进网络犯罪防制能量,除了要提升数位鉴识能量外,同时,要建构跨域追查的环境。
而在推升资安产业自主研发能量时,更关键的部份,是能够提供试验场域,提升台湾资安产业自主研发能力,并推动将台湾资安产品纳入共同供应契约规范,并将台湾自主研发资安产品的使用率,从既有的三成多提升到五成,而且,也要建立并推动资安产业标准及检测与认证、验证机制,并结合产学研的研发能量,发展台湾自己资安关键技术,希望台湾资安产业产值可以达到550亿元。最后,在孕育优质资安人才,除了鼓励大专院校增设资安课程或专班,以系统化、制度化方式培育资安人才外,更希望政府机关可以设置专职的资安人力,最终可以建立千人资安应变小组。
吴启文认为,政府在资安防护的作为上,通过长期监控与外部情搜发布警讯,做到早期预警;接着,推动政府组态基准(GCB),纳入网通设备与Linux系统,并在网站与系统的开发,纳入安全的软件开发生命周期(SSDLC),让政府机关所使用的资讯设备与端点系统,可以制定一致性的安全设定,以降低骇客入侵的管道与可能性;通过资安事件通报应变机制,协助受骇机关事件复原、紧急应变处理,可以在最短时间内恢复系统运作;也同时通过资安情搜与分析威胁样态,交叉分析各种资料,希望可以挖掘潜在威胁并进行通报处理,以掌握攻击手法与趋势。
关于政府资安的防护,他也提出建议,认为能够从广度、深度和速度三个面向着手。在广度的作为上,政府可以通过资安旗舰计划,以及前瞻基础建设等两大专案计划,重新建构政府机关基础设施,并打造地方政府区域治理资安联防体系,同时,可以结合大数据分析和人工智能(AI)技术,预测资安攻击趋势;深度的部份,则应强化内网与外网的纵身防御作法,并扩大资安稽核与技术检测,可以主动挖掘问题、改善问题;最后,在速度上,则借由制定各种资安计划与落实资安应办事项,提升资安事件侦测及反应速度,并且通过资安通报与各种网络攻防演练,增加资安事件应变速度。
iThome△Security
I 相关 / Other
自2017年底,贾跃亭前往美国出任法拉第未来公司CEO后,FF91最新消息便称了众多媒体关注的焦点,近日根据FF91最新消息,贾跃亭在法拉第未来(FF)全员大会上透露,FF91将于8月正式投产,最快将于2018年底交付下文就来
中国国家发展及改革委员会近日宣布,为了推动社会信用体系,自今年5月1起,将禁止严重的失信者搭乘火车及飞机,包括那些曾伪造车票、冒用优待身份证件、强占座位,或者是曾挪用公款、未缴社会保险费的,都会被列入禁
因俄罗斯变节前特工斯克里帕尔父女被落毒案,被英国驱逐的23名俄罗斯外交官,带同家人分乘三辆巴士,离开俄罗斯驻伦敦大使馆,返回莫斯科。英国首相特蕾莎-梅召开国家安全委员会会议,首相府发言人在会后表示,暂时不
总理李克强在全国两会闭幕后的记者会说,现在国内民企投资偏软、偏弱情况的确存在,他认为与产权保护及多方面问题有关,政府高度重视,保护产权是保护市场经济的基石,是政府议程的重要环节,国家对各类合法产权的保
日本石川县金泽市的政府办公厅发生伤人案,四名市政府职员被一位无业男子,以菜刀刺伤,送院救治。事发在当地下午一时许,四名职员由52至69岁,分别在三楼至五楼中刀,送院时清醒。警方到场以涉嫌违反《枪刀法》拘捕