謝至恩2017 年 NetEvents 全球網路峰會,在美國聖荷西 (San Jose) 舉辦,除了邀請許多國際網路大廠與新創廠商齊聚一堂之外,今年更邀請到 3 位美國安全執法機關主管與顧問,包括美國聯邦調查局 (FBI) 舊金山分局網路安全小組主管 MK Palmore 、美國特勤局副助理局長 Ronald Layton 及前美國特勤副局長、現為 Information Security Awareness 顧問服務公司創辦人暨執行長 Michael Levin,分享了他們在多年對抗駭客的精闢觀察和心得,讓社會大眾得以一窺執法機關的資安思維和打擊網路犯罪的心法。
FBI 在全美有 35,000 多名員工、有 56 個分局,為了打擊犯罪,他們積極建立國內/外合作網路,而 MK Palmore 率領的部門也介入過多起知名資安入侵事件的調查,其職責是將網路犯罪者繩之於法。美國特勤隊是在 1865 年為了打擊假鈔而成立,時至今日,Ronald Layton 的特勤局的防禦對象已經從紙幣演變到塑膠、甚至數位及加密貨幣。 Michael Levin 的公司對企業提供顧問服務,因而對一般企業的資安防禦程度及面對網路攻擊的心態有深刻了解。
本文目錄
輕率的心態才是漏洞之源
Ronald Layton 首先指出,隨著科技的進展,便利與簡單成為人們資訊生活的最高要求。便利在於智慧型手機普及到人手一支,人們希望手機查詢一下立刻得到資訊與服務;而簡單在於人們習慣了剪下、複製、貼上、傳送這種不用大腦的動作,這也反映在設立密碼上頭;今天,在 App 和網站上最常見的密碼為 password 和 1234 。這樣不良的基礎習慣讓駭客有了可乘之機,「便利是導致資安風險的『新尼古丁』」,Ronald Layton 表示。
Michael Levin 則以服務民間企業多年的經驗指出,一般企業忽略員工資安訓練,以致於他們沒有養成良好的資安習慣,而陷自己個人資料、公司資料及國家資料於外洩風險之中。民間企業最大的資安弱點並不是在於設備不足,而是人,70% 到 80% 的資安事件都和人有關,不論是有意犯錯或無心疏失導致資安事件的發生。
去年以來美國發生了多起重大資料外洩事件,包括俄羅斯駭客在美國總統大選期間入侵民主黨全國委員會電腦竊取川普陣營的選舉研究資料,Yahoo 接連被爆在 2013 及 2014 年網站被駭,致使 5 億及 10 億用戶資料外流,以及美國第三大消費者信用評核報告業者 Equifax 遭駭,1.42 億筆消費者個資曝光,受害者將近美國人口的一半。
今天的駭客面貌、特徵與動機
MK Palmore 將網路威脅來源分成 4 種族群:具有財務動機的入侵犯罪者、國家、激進駭客 (hacktivist) 及內賊。他認為 4 種族群中最常見且影響範圍最大的是具有財務動機的入侵犯罪,因為成為這種駭客的門檻最低。這群人主要是男性,年齡小至 14 歲、大到 32 歲。他們自學成為駭客、有很多空閒時間,而且現在的暗網有取之不盡的攻擊工具、惡意程式、殭屍網路服務和資訊,讓他們用來發動網路攻擊和入侵行動。完善的資源讓他們的行動得以達到近 100% 匿名,也沒有留下蛛絲馬跡,讓執法機關無從追查。
而「國家」作為一類駭客,除非是國防機構外包商或是擁有特別軍武機密技術的業者,否則一般企業很難相信他們會成為國家竊取智財的對象。但事實上,我們身邊就有個活生生的例子:Yahoo 。 FBI 的調查顯示他們面臨背後有國家撐腰的駭客攻擊,他稱之為網路威脅活動的超級團隊。這些駭客擁有用之不竭的資源、攻擊工具、人才、具有良好組織及計畫周詳的攻擊策略。這類攻擊極度難察覺,在企業網路中的潛伏期可長達 180 天,他們入侵、取得企業的資財及客戶資訊再用來支持國家的目的。然而他認為,一般企業並沒有做好因應國家級駭客攻擊的準備。
Michael Levin 則剖析了民間企業對網路攻擊的心態。對民間企業來說,他們不在乎入侵公司網路的是國家、小偷或是無所事事的小屁孩。一旦網站掛掉,客戶資料外洩、系統被入侵,他們唯一的念頭是讓網站恢復上線、讓系統趕快恢復營運,阻止資料繼續外洩,將災害及損失降到最低。而駭客的心態也很類似,國家資助的駭客、電腦技客、聞「錢」而來的網路罪犯都一樣,都是尋找最容易進入的大門,因此作為一家顧問公司,他的職責是幫助企業把大門上好鎖,不讓駭客進來。
特勤組的 Ronald Layton 則著眼金錢為目的網路入侵行為,以美國著名的銀行大盜 Willie Sutton 為例。當他被問到為什麼要搶銀行,他回答道:「因為那邊有錢。」只要有錢,就會吸引各路駭客前來探門。
但是自特勤組 25 年前開始打擊電子犯罪以來,犯案行為模式有所轉變。以前特勤組對付的是彼此無關聯的孤狼式犯罪,而現在罪犯或駭客們彼此認識、互通聲息、他們之間以俄羅斯為聯絡中心,運用加密技術通訊,對警方辦案構成一大挑戰。
企業和消費者要怎麼自我防護,以免變成駭客眼中的肥羊?
Michael Levin 以洩露 1.42 億筆資料的 Equifax 為例說明,其實它只是 IT 部門一時疏忽或是怠惰,未定時更新及時修補一個早已有修補程式的網站元件漏洞而釀成大禍。這種很基本的錯誤 20 年前就已存在,現在即使這麼大的企業還是犯同樣的錯,顯示企業依然未能落實正確的資安作業模式 (practice) 。另外企業普遍不願撥時間提供員工資安教育,告訴他們什麼可以做,什麼不可以。對企業資安來說,科技設備往往不是弱點,員工才是脆弱環節所在。如果員工會看到電子郵件想都沒想就點擊開啟附件,那麼有再好的防護科技,病毒、蠕蟲依然能長驅直入公司網路。
Ronald Layton 指出,其實網路攻擊者很懂得人性。智慧型手機成為現代人生活不可或缺的東西,許多人已經手機成癮,若是出門忘了手機,整天心神不寧,變成邊走路邊看手機的低頭族,有事沒事會看一下手機有無訊息、什麼連結都點擊下去。他指出,若說便利是「新尼古丁」,好奇心就是「新咖啡因」。利用使用者的好奇心,使用者很容易點入惡意連結及附件,這也是何以魚叉式網釣攻擊那麼普遍又有效的原因。因此,使用者資安教育及良好使用習慣的培養乃是今天網路防衛戰刻不容緩的議題。
MK Palmore 認為企業要做好資安的三大條件在於,來自高層或董事會的支持、資安政策及安全措施的落實,以及資訊的分享。首先,取得高層支持以及指派並授權專責人士才能推動資安政策及員工資安教育的推行。資安政策及安全措施的落實是為了將資安融入在企業日常作業中,像是確保修補程式及軟體在最新版本、稽核與 log 管理、定期實施安全與弱點評估,導入安全性高的身份驗證機制。例如使用雙因素驗證 (Two-Factor Authentication) 會對攻擊者產生一定的阻擋。而資訊分享有助於企業知己知彼、有效禦敵於境外。
Michael Levin 也同意雙因素驗證是未來大勢所趨,它也能解決員工密碼過於簡單,以及企業密碼管理的負擔,現在所有金融服務業已經將雙因素驗證列為 IT 的必要元素。
2017 年的網路攻擊面貌和過去有何不同?
Ronald Layton 首先指出,和過去相比,網路攻擊者的手法以及他們使用的工具都大為進步。加密使用者檔案以要求贖金的勒索軟體已經成為近年駭客最愛的工具;2014 年,勒索軟體是常見網路犯罪工具的第 22 名。到了 2017 年它已經上升到第 5 名。令人憂心的是,使用者懂得備份後,勒索軟體就出現加密部份或整個硬碟,令使用者防不勝防。使用者變得更聰明後,攻擊手法也隨之演變,而且這個攻防競賽的腳步愈來愈快。
他還指出,20 年前應用程式只有幾百行程式碼,現在的 App 動輒百萬行。程式碼愈多,漏洞也就愈多,自然讓防禦更為困難。
匿名性則是現今網路犯罪另一項問題。 MK Palmore 指出,現在攻擊者要求比特幣等加密數位貨幣,而暗網平台出現也使攻擊資訊、攻擊工具的流通和金錢交易更容易,令執法機關追查不易。另一方面,網路犯罪走向組織化,甚至成立犯罪企業,並加密通訊網路及加密貨幣助力下,形成全球化的犯罪網路,都是當今打擊網路犯罪的嚴苛挑戰。
最後,FBI 、特勤局等執法機關也花了相當心力推廣社會資安教育。 MK Palmore 指出,FBI 平日相當積極走出去和民間企業交流,希望實地了解現今企業遭遇的問題、碰到何種入侵、以及宣導正確的防護措施。 Ronald Layton 則說明特勤局全美有 30 多個數位犯罪防禦任務編組,這些編組囊括了前任警察、私人企業員工及學術人才,實行防護與調查並存的整合工作。他最後強調,預防是最好的策略;唯有現在將時間及預算用在員工資安教育及資安政策、作業模式的落實,才能有效防範各種動機的網路駭客登門造訪。