被骇 11 个月才发现?趋势科技安全研究全球副总裁 Rik


被骇 11 个月才发现?趋势科技安全研究全球副总裁 Rik

「台湾资安环境低于全球平均值,台湾高科技製造业遭受 APT 攻击的入侵天数平均高达 346 天,而全球平均约为 220 多天。」(按:关于 APT 攻击的解释,可参考 〈世界网战一级战区:APT 攻击一波波看似守也守不住!台湾受骇了吗?〉)

《TechOrange》上週受邀参加趋势科技举办的「CLOUDSEC 2013 企业资安高峰论坛」,会中,特地飞到台湾与会的趋势科技资讯安全研究全球副总裁 Rik Ferguson 对台湾科技製造业的资安水準提出警告。

科技製造业最怕商业机密外流,也是最注重内部资讯安全防範的产业,如禁止访客携带连网装置入厂、对员工持有的手机装置设有严格规定等。不过,在行动装置和云端产业蓬勃发展的当下,上述这些防範措施愈来愈难达成。

员工使用自己的装置登入公司系统、携带自己的装置进公司工作(BOYD,Bring Your Own Device)已成为常态,员工也习惯于把资料储存在云端硬碟。这些看似顺应发展也非常方便的做法,却使得企业对于资讯安全掌握能力逐渐降低;再加上骇客攻击手法不断翻新,传统资安防御那套防火墙、防毒软体、入侵防御系统愈来愈不够用。

台湾政府和民间抵御 APT 攻击的能力有多弱?根据趋势科技刚公布的 台湾 APT 白皮书 ,高科技製造业平均需要 11.5 个月才发现已受骇、遭到入侵,金融业则为 9 个月,政府单位要 8.5 个月,关键基础设施(油水电等)则是 8 个月,才会察觉自己受骇了,等发现的时候,很多重要资料都已经被偷走。

Rik Ferguson 会后接受媒体联访时还说到,根据趋势科技的资料,光是在 2013 年 Q3(至 8/27),平均就有 140 万个恶意网址(malicious URL)源自台湾;平均有 7,730 万封垃圾邮件(Spam Mail)源自台湾的 IP,在全球排名第四;台湾也是全球前五名受银行恶意软体(banking malware)攻击的对象。这些数据分别显示,台湾有为数不少的电脑成为黑帽骇客控制的 BotNet(殭尸网路,被控制的电脑会被用来发送垃圾邮件、封包、恶意连结);更有许多骇客利用台湾网路环境作为跳板,寄送垃圾邮件(spam mail);以及银行的网路交易安全防护不足。

针对如此恶劣的网路环境,Rik 针对企业和个人给了不同的建议,记者会问答简单摘要如下:

记者问:为什幺企业会找不到有人对他们发动 APT 攻击?

Rik 说,传统的资安防护作法是建立一个高墙、一座城堡,把坏人挡在外面,企业就可以安稳地待在里面。但就如同上面说到的,现在企业要管掌控的装置变多、变得分散,加上坏人变得更深不可测,因此我们要做的是往塔外看,看那些要进来的人长什幺样子,找出他们攻击手法、怎幺进来的。

「如果你一直处于防备的状态中,那你的防备得要每次都成功、无法容许一次失败、一个弱点;但如果你主动出击,那你只要成功一次就够了。」

至于怎幺主动出击,多要倚赖资安公司的技术,看他是否能随时掌握最新的网路攻击手法,并能在网路环节里快速找到对方向、追蹤到攻击源头。

记者问:台湾现在愈来愈多网路新创服务,安全的系统、平台该怎幺建置?

在台湾产业进入转型阶段,除了加工代工,也开始有网路新创公司出现,这些网路公司对资安的需求更是迫切。当网路公司蒐集了使用者资料,甚至是敏感的交易资料,Rik 认为,他们就就有责任确保使用者个资的安全。

企业的资安防护重点在于管理与基础架构。但 Rik 提到,企业之间常有个通病,就是以为资安作业只要在硬体、资料库、伺服器、系统、平台都建置好之后,再丢给资安小组说:「把它们变安全吧」。

正确的资安作业应该在建置基本架构时,资安小组就分散到各组、把资安落实到每个环节中。

没有资安专业员工的公司,也可以聘请资安专家当顾问,但重点还是一样,不能等一切架构都建置完成时,再请他们来「把它变安全吧」。

记者问:台湾成为骇客跳板,该怎幺解决这个问题?

Rik 唯一的答案是:关掉 Port 25。ISP 服务商有管制的去开放特定人士申请使用 Port 25,这样就能把发送恶意邮件的机会给抹除。

寄送电子邮件时,会需要透过 SMTP(Simple Mail Transport Protocol 简单邮件传输协议)伺服器,而标準外寄伺服器的连接埠是 25,即 Port 25。

一般使用者使用 Web Mail 如 Gmail、Hotmail 时,并不会用到 Port 25,就只有企业专用的邮件系统,或是骇客直接下指令寄送大量恶意邮件、免去 Web Mail 複杂的操作流程时,才有需要用到 Port 25。

因此关掉 Port 25,若有需要的人再去跟 ISP 服务商申请,是不让台湾成为恶意邮件发源地的方法。Rik 提到,去年印度也是榜上有名的恶意邮件发源地,在他们关掉 Port25 之后,也关掉了这个做坏事的机会;在印度失去机会的骇客,也就随着机会来到台湾了。

记者问:个人可以怎幺保护自己的装置免于骇客入侵的危险?

首先,最关键的就是「随时更新软体」,不仅仅是执行 Windows 要求的更新,只要有任何软体要你更新,就按确认吧。

虽然也曾有过骇客把更新档带换成恶意程式的例子,但那毕竟是少数。多数时候,更新档不只是让软体升级,更是用来修补程式中的漏洞,因此不论是 Windows update、Adobe Reader、java、浏览器,甚至是手机中的 App,都要尽可能保持在最新状态。

第二是「提高警觉,不要乱点开来路不明的连结或档案」。即使是认识的朋友传过来的讯息,Rik 也都会再三确认这确是对方亲自传来的、有用的讯息。

第三则是「安装防毒软体」。Rik 把安装防毒软体比喻为「买保险」,你肯为人生买保险,电脑中珍藏了那幺多重要资料,难道不该为它买保险吗?

「CLOUDSEC 2013 企业资安高峰论坛」由资讯安全软体和解决方案厂商趋势科技主办,共计在亚太地区八个国家举办,锁定企业管理阶层 CXO,共同探讨企业资安议题,包括云端资安、APT、虚拟化、个资法以及 BYOD 等。

预告:Rik 製片,未来网路战样貌《2020》即将上映

顺带一提,Rik 也参与趋势科技许多资安宣导影片的製作及拍摄,拥有艺术学位的他,把许多资安宣导片拍得像是电影一般,一部关于未来网路战争样貌的影片《2020》预计在 9 月底亮相。

〈APT 攻击: 一场没有中立国的战争 (真实案例模拟)〉



上一篇: 下一篇: