編輯部今 (2016) 年七月,第一銀行爆發國際駭客入侵事件。原本以為是安全無虞的 ATM 提款機遭植入惡意程式,讓一張張的新台幣鈔票,從 ATM 提款機自動吐到接風的歹徒手中。
Blue Coat 技術總監曾良駿表示,駭客攻擊手法日新月異,部份惡意程式甚至可以隱藏一至二年,長時間蒐集並分析銀行的行為模式後,才開始發動攻擊。銀行的問題在於資料量龐大,單純憑人力難以進行網路行為紀錄追蹤分析。另外也可能已經透過網路設備進行側錄與分析,但欠缺預警機制,也無法即時抓出問題所在。
此次一銀 ATM 事件,據媒體報導,警方與一銀花了約 14 天時間,終於分析出相關問題。一般駭客可能利用 ATM 機號,並利用內部串通人員,猜測並探出 ATM 內部訊息,進而利用網路漏洞完成攻擊。
曾良駿認為,如果透過類似 Blue Coat Security Analytic 的資安追蹤分析解決方案,上述程序有可能加速到只需 14 小時就能分析完成。銀行資安人員透過之前所記錄下來的被植入檔案名稱,以分析程式回溯惡意程式 Hash 值,並且追出網路來源,就能接著反向查出那些 ATM 接收了同樣來源的惡意程式。就算檔案名稱被改過,也一樣能利用 Hash 值追蹤出來。對銀行或金融機構來說,能夠更快地判別出惡意程式並其來源,加速處理危機事件,進而減少損失。
另針對最近新出現的資訊分流機制,曾良駿則表示,目前有廠商開發出對大量網路資訊流進行分流功能的產品,可以依據不同通訊埠 (port),或是依 session 分流,以控制資安設備在監控時的負載程度,盡量不要漏掉資訊。但是這些分流設備,都是用來解決網路流量過大問題,分流之後,仍然必須要接軌到 Blue Coat Security Analytic 等解決方案,才能分別進行資安分析鑑識,以確保沒有惡意程式存在。