超限戰時代！你需要正視日趨激烈的網路戰爭！談安全防禦的三大面向：預防、偵測與矯正 ~ UCOM 職能補給站

作者：唐任威 精誠資訊/恆逸教育訓練中心資深講師

高度文明時代，傳統熱戰趨勢不在。取而代之的是透過超限戰實踐全球霸權。超限戰法中，舉凡政治、經濟、科技、社會等無一不是超限戰的手段。然而高度資訊化的時代，網路戰更是實踐超限戰最有效的方法！

2011年，震網病毒有效的摧毀了伊朗核電廠六千多部濃縮鈾離子離心機。此一攻擊事件，證明電腦病毒可以有效破壞關鍵基礎設施。而在2015年烏克蘭電廠的攻擊事件中也徹底證明藉由駭客攻擊關鍵基礎設施的可行性。

2012年，長期潛伏於中東地區的火焰病毒被發現。根據聯合國的調查該病毒之破壞力前所未見，潛伏時間超過五年，長期監控與情蒐特定對象。

2013年3月，韓國各大型企業超過50,000部電腦開始當機，不斷重開。民生與金融秩序受到嚴重影響，韓國政府以國家級戰爭規格因應，資安業者稱為黑暗首爾事件。

2020年8月，台灣資安業者揭露奇美拉駭客攻擊。據信此為中國駭客團體，長期入侵台灣半導體科技公司，竊取IC設計等高價值敏感資訊，受害公司高達七家以上。

2020年9月，美國聯邦調查局發佈通緝中國APT 41駭客團體。該駭客團體被指控以美國的VPN服務做為跳板掩護，大舉攻擊包括台灣在內至少 14個國家。該年度轟動台灣的中油駭客事件，也相信是該駭客團體所為。

2020年底，資安巨頭火眼證實自家遭受駭客攻擊。而在後續調查中也證實該攻擊事件受害族群龐大，不僅火眼公司，舉凡美國政府各重要單位及各重量級公司都在列，波及範圍高達250個單位。且該駭客集團背後參與人員高達千人，被稱為有史以來最縝密的駭客攻擊行動。

2021年3月，微軟發佈資安報告，發現來自於中國的Hafnium駭客團體正在大規模進行攻擊，根據相關報導在美國至少有三萬個政府與企業組織遭受入侵，且相關系統被植入後門。

面對種種激烈威脅，企業不該坐以待斃。唯有全面戒備，方能永保安康！
安全防禦看似複雜但其可以簡單歸納為「預防」、「偵測」、「矯正」三大面向。

「預防」又可以簡單分為預警、防禦、評估三部分。

「防範未然」一直是安全防護的基本思維，但其應建構在「知己知彼，百戰不殆」的基礎上，因此「預警」的重要性便與日俱增。近年來網路威脅情資 (Cyber Threat Intelligence) 日益成熟且廣被採納。藉由有效掌握情資，企業可以完備預警機制，在攻擊發生前洞燭機先。
『勿恃敵之不來，恃吾有以待之』，「防禦」當然是抵擋攻擊的基本功。以恆逸所開設的『CND網路防禦專家認證課程』內容為例。其中所提到的防護機制諸如入侵偵測、防火牆、端點防護、資料加密、存取控制、網路防禦等，無一不是讓企業建構出銅牆鐵壁，阻擋駭客攻擊發生的最佳防禦。

『兵在精而不在多』，資安措施也同樣如此。對企業而言，如何有效「評估」資安措施有效性，即為一重要課題。一直以來VAPT是企業檢測資安措施有效與否的最佳工具。VA (Vulnerability Assessment；弱點掃描)指的是透過掃描工具檢測已知漏洞，透過後續修補，降低攻擊可行性；PT (Penetration Test；滲透測試)則是藉著訓練有素的道德駭客，透過實戰手法攻擊企業，以驗證企業防禦措施有效性。

除事前預防，事中「偵測」也至為重要！

現今攻擊大多都屬於APT (Advanced Persistent Threat；進階持續性威脅)攻擊。其特性為高度隱匿、長期潛伏、攻擊客製化。因此在防禦上，傳統防禦機制會顯得捉襟見肘。而高強度且精準的監控便成為偵測APT攻擊的基本條件。現代化資安防禦，都會透過建構SOC (Security Operation Center；資安監控中心)進行全面監控，以期資安事故當下可以第一時間應變調查。

資安事故在發生後，當下的課題就是「矯正」。

資安事故矯正可以分為事故應變與鑑識調查兩個層次。事故應變首重程序，藉由正確的SOP流程可以在事故當下正確處置，將當下損害降到最低。而鑑識調查的目的則在於找出證據。因為事後不論何種層面的咎責，無論是組織內部或外部，乃至於法律層面，倘若沒有鐵證如山，則終將難以還原事實真相，則更遑論究責。
資訊時代同時也是超限戰時代，網路威脅程度超越以往。這個世界早就由黑天鵝時代進入灰犀牛時代。因此企業在思考營運策略的同時，千萬不要輕忽數位資產受到傷害對組織所造成的衝擊！

👉索取資訊安全全系列課程資訊

UCOM 職能補給站

提供您專業技能的最佳管道，IT企業主管唯一推薦

提供您專業技能的最佳管道，IT企業主管唯一推薦

2021年5月19日星期三