資通安全發展趨勢下的風險與作為

蔡其達
728 人閱讀

俄羅斯總統普丁2月21日發表了長達近一個小時的電視演說,透露了他重回舊蘇聯輝煌、重建歐洲乃至全球權力版圖的雄心。2月24日清晨基輔遭遇俄國空襲,烏俄戰爭正式打響!

現代戰爭的第一線──資訊戰

烏俄戰爭是一場「混合戰」,資訊戰在正式開戰前就已經打響了。事實上,自2014年俄羅斯佔領克里米亞以來,資訊戰就從未停止過。換句話說,烏克蘭已經打了一場沒有砲火的「8年抗戰」資訊戰。

圖片來源:翻攝自華視新聞YouTube頻道

基於俄羅斯入侵烏克蘭的不公,加之聯合國大會於3月2日以壓倒性優勢通過了「譴責俄羅斯入侵」決議案,全球最大駭客組織匿名者(Anonymous)也透過Twitter表示要對俄羅斯政府發起一系列網路戰,其中匿名者駭客組織之一NB65已癱瘓俄羅斯航太局,切斷其與自家間諜衛星的聯繫。匿名者還聲稱駭客攻陷俄羅斯「聯邦勞動與社會保障部」和俄羅斯「經濟發展部」網站,洩漏了其資料庫資料,並癱瘓了超過1,500多個與俄羅斯/白俄羅斯政府、官方媒體,以及主要銀行企業網站。

國內在烏俄戰爭期間一個討論的議題是「今日烏克蘭,明日台灣」。雖然許多人認為台海局勢與烏克蘭不同,我們有台海屏障、護國神山等客觀條件,然而在網路世界(Cyber World),本質上並沒有太大區別。

相互依存的世界伴隨著衍生的資安風險

新興資通訊科技固然為人類帶來生活的便利,然而伴隨而來的卻是衍生的資安風險,其對於民眾生活、經濟活動及國家安全的影響將與日俱增。

近年來,關鍵基礎設施的保護議題,已逐漸成為各國所重視,主因在於關鍵基礎設施之防護完備與否,攸關國家安全、政府運作、人民生活、經濟發展與永續生活。依據行政院103年12月23日頒布之《國家關鍵基礎設施防護指導綱要》,我國關鍵基礎設施(CI)分類包括:

(一)主部門:分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八類。

(二)次部門:依主部門重要元件之屬性再區分次部門,例如能源主部門下再區分電力、石油、天然氣、化學與核能材料等次部門。

(三)重要元件設施:維持設施營運所必須之重要設備、運作系統、通訊系統、維安系統,以及重要資訊系統或控制、調度系統等。

各種關鍵基礎設施系統,只要牽涉到設備連網,加上採用開放技術架構,都會面臨資安風險。一旦遭受有心人士惡意攻擊,將嚴重影響基礎設施的持續運作。

去年5月美國最大燃油管線營運業者「殖民管線公司」(Colonial Pipeline)遭遇來自俄羅斯的「黑暗面」(DarkSide)的犯罪駭客幫派發動勒索軟體攻擊後,營運於5月7日停擺。「殖民管線公司」負責輸送美國東岸各地使用約45%燃料,營運停擺導致燃油供應不足,油價更因此而上漲,讓美國於5月9日宣布進入緊急狀態,破例讓燃油業者透過一般道路運送燃油。

未來10年新興科技帶來更深的資安威脅

「人工智慧來了!」在21世紀的今天,AI人工智慧的應用已漸漸滲透各行各業與日常生活中。目前國內許多大學追著這一波潮流,如成大、清大成立人工智慧學程,台大、交大設立人工智慧碩士班。但是,這些課程多著重於系統、應用或晶片,鮮有針對資安領域加以著墨。底下略舉資通訊技術發展的幾個主要趨勢,以及他們與資安的關係:

AI民主化

所謂AI民主化,是希望透過雲端運算服務,並簡化AI工具,讓AI技術可以快速普及。也就是說,降低進入門檻,讓AI不再是只有少數企業可以使用的技術。

以前寫電腦程式是資工系學生的專長。現在透過雲端運算服務,提供了各式簡化工具,一般人也可以創造出有趣的應用來。比如,馬斯克於2015年創立的OpenAI組織,通過與其他機構和研究者人員「自由合作」,向公眾開放專利和研究成果。其中OpenAI Codex可以透過自然語言描述,自動產生程式碼。換句話說,就資安領域而言,惡意攻擊者運用神經網路降低生成新型或高度可變的惡意軟體的成本,只是時間問題而已。這也使得資安防禦人員必須研究如何利用感知神經網路來更好地檢測惡意程式碼。而這樣的能力,在我們多數學校的人工智慧學程中是欠缺的。

軟體定義(software-defined)下的系統虛擬化

何謂虛擬化?簡單的說,虛擬化技術是一種以軟體的方式進行實體資源(包含硬體或軟體)配置與優化的架構。以抽象化(Abstraction)的方式呈現系統的各式服務。主要的虛擬化類型包括:伺服器虛擬化、網路虛擬化、儲存虛擬化,和桌面虛擬化。

虛擬化能將昂貴的硬體資源做更有效的運用,在5G與雲端運算中已是不可逆的趨勢。但虛擬化系統一旦發生問題,卻也更不容易偵錯。因為在效率的原則下,出問題的虛擬元件並不會一直存在那兒等著被偵測到。

一個安全方案的完整性、有效性,很大程度上取決於其每一個個別組件的安全性,包括虛擬機管理程式(VM hypervisor)或容器編排器(Container Orchestrator)、伺服器主機和主機作業系統、宿客作業系統(guest OS)、應用程式和存儲設備或系統。由於單一管理程式可以託管許多大型組織或企業網路服務器的虛擬機或容器,如果虛擬機管理程式或容器編排器被入侵了,相關受管的虛擬機或容器就都會受影響,包括關閉運行中虛擬機或容器,加密虛擬硬碟驅動器和在管理程式上的配置檔。

遠端工作

為了應對COVID-19,許多企業廣泛採取了遠端辦公模式以降低群聚與通勤的感染風險,而網路犯罪分子也藉由這一波疫情發動攻擊。

由於遠距工作或居家上班對各種通訊、線上會議軟體與網路等之依賴程度更高,導致了資安挑戰的增加。除了公司無法管控遠距或居家的工作環境外,使用遠距管理工具如Windows RDP(遠端桌面協議Remote Desktop Protocol)或其他第三方服務或應用程式(如VPN或Microsoft Exchange),都讓駭客恐更容易利用第三方程式造成的漏洞來盜取資料,將企業內部資訊暴露於風險之中。

展望未來,即使在疫情過後,遠距工作或上學也可能成為一種「新常態」。

「共享經濟」的商業模式

1979年,李國鼎先生創立資訊工業策進會,推動臺灣的資訊科技發展。在那個時代,所有的軟體都是「單兵作戰」型,也就是說,對於一個單一應用程式,開發者必須自行從最底層開發到最上層。筆者畢業後第一份工作是在瑞士IBM研發部門做R&D(Research & Development),也就是俗稱的「研發」。幾年後遇到過去研發部門的同事,他說現在IBM不做R&D了。那做甚麼呢?做C&D (Connection & Development)。的確,資通訊產業過去變化太大太快了。要加快創新產品上市,不能全靠自己,而是尋求對特定領域感興趣的夥伴,採取合作策略。

其中一個創新的「典範轉移」便是雲端運算。我們都知道它的三種服務模式:軟體即服務(SaaS)、平台即服務(PaaS)、和基礎設施即服務(IaaS)。如同「共享經濟」一般,使用者可以依需求(on-demand)租用,而不需要自己開發或購買。大多數人接觸到的最常見的雲端運算服務是SaaS(Software-as-a-Service,軟體即服務),這種服務型式是透過網際網路,由服務供應商來提供特定軟體服務。近年資安領域也以這種方式,建立了勒索軟體的「生態系」,即所謂的「勒索軟體即服務」RaaS(Ransomware-as-a-service)。而這一趨勢在未來的十年中還會繼續發展下去。

建構一套勒索軟體需要不同的技能,如跳板入侵、入侵後的權限破解、破解後的檔案移動或加密…。如果一套勒索軟體是由同一組人自行開發的話,往往會受限於其熟悉的攻擊手法,其特定的攻擊手法特徵也容易被辨識出來。但在RaaS下,他們可以購買或租用不同的元件來創建多樣化的組合,這將使防禦更加的艱難。RaaS商業模式讓每個駭客都可以專注於他所熟悉的部分,不斷改進他們專精的元件,而透過「組合」建構整套攻擊套件。

RaaS模式降低了「進入門檻」。你我這些業餘者,都有機會透過公開資訊以及低成本,成為勒索企業的駭客!

資安即國安

推動資安不只是政府的事。

目前,政府在監管治理方面有《資通安全管理法》,從風險管理的角度對關鍵基礎設施進行規範和管理。在政府採購資訊相關設備的預算中,也提出了資安預算比例的要求。同時,除要求ABC級機關設資安長與專責人力資源外,對於國內產業,也將要求上市櫃公司依不同等級來設置,藉此推動產業對於資安的治理與文化。

徒法不足以自行。所謂「資安,資安,說起來重要,做起來次要,忙起來不要」。並不是大多數企業不重視資安,而是在業務運營中要做的事情太多,而資安總是在預算有盈餘的時候才去做。「資安作為」有沒有真正落實才是重點。

事實上,台灣每月遭受多達2,000萬至4,000萬次的境外網攻。這次烏俄戰爭,烏克蘭遭受的Wiper網攻,被發現埋藏3個多月才啟動。可見俄羅斯駭客潛伏已久,埋藏惡意病毒。而這樣沉默不顯、靜待時機發動的「數位定時炸彈」,中國駭客是否也在台灣埋藏不少呢?

「今日烏克蘭、明日台灣?」台灣也面臨中國這個強權國家的威脅。卻一再曝露系統性的弱點。例如2016年一名低軍階中士竟可以誤射雄三飛彈,擊毀距離海峽中線僅66海浬的作業中漁船高雄籍「翔利昇」;2022年,單一值班人員就可以開啟興達電廠「禁止操作」的斷路器,造成全台549萬戶大停電。

我們必須強化各項基礎設施的韌性!借鑒美國國土安全委員會《關鍵基礎設施資安防護法案》的加強關鍵基礎設施系統抵禦網絡攻擊的能量和技術,以幫助識別與工業控制系統相關的威脅,從而將國土安全部保護這些系統的工作任務法制化,並帶頭協調及處理跨關鍵基礎領域部門的網路安全事件。

在資安領域「一盎司的預防勝過一磅的治療」。我們需要經常演練,來發現問題並立即補破網加以修復。我們當借鏡烏克蘭「假日戰士」的非凡成就為榜樣,重新審視國內的「教召」制度,並建置資安區域聯防,共享資安情資,並如同「教召」一樣,定期資安教育訓練與經驗交流。打造台灣成一個多方面的韌性社會。

「台灣準備好了嗎?」還沒有。但台灣一直在準備,需要我們全民有資安意識的持續參與。

留言評論
Latest posts by 蔡其達 (see all)

延伸閱讀