中芯數據吳耿宏:資安威脅訊息過量成為資安例行維運的大挑戰
(本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導)
「截至目前為止沒有一個資安設備可偵測出所有資安威脅,為此需同時配置多種資安設備來提高防護力,然資安設備配置愈多產生的警訊也愈多,需要愈多人花心神去關注處理,但企業主卻認為設備愈多資安人力當更精省。」中芯數據技術長吳耿宏直言今日資安防護實務上的弔詭處境。
另一個讓企業無力的事實是,許多重大資安事件發生後,事後追查的結果發現,威脅早已入侵、潛伏在企業內長達數個月,有如此寬裕的時間企業依然沒能在事件發生前偵測與排除威脅。

資安問題更令人擔憂的是攻擊已高階化,過去的資安防護如同中世紀的攻城戰,把護城河築深、城牆築高就好,底層防禦堅固即可安穩,而今攻擊者用的是精準飛彈臨空而來,底層工事毫無用處。例如企業雖建立防火牆、入侵偵測,但企業內人員接收並打開一個標題為「恭喜您中了最新的 iPhone」的引誘信件,資安威脅即喬裝成「使用者正常行為」登門而入,防禦功虧一簣。
再者,企業面臨資安事件難再掩蓋的壓力,資安法規日益嚴格,資安事件發生後政府要求企業通報(2018 年 5 月通過),目前國內法規尚算寬鬆,只需要向主管機關通報,且罰則輕(最高 500 萬新台幣),國外已要求企業須向夥伴、客戶通報,且罰則重,客戶甚可能向企業求償等,未來有可能向國外標準看齊。
資安事件發生後更令人討厭的是鑑識工作,平日未事先發現威脅徵兆,威脅在內部潛伏、移轉、擴散最後釀成災禍,此一完整脈絡難以拼湊,請專人來鑑識又所費不眥,追查專人的費用是以「每人每天」在計。為能理出完整脈絡平日就必須詳整關注資安警訊,然如前所述「更多設備、更多警訊、更多人力」,訊息數量的龐大龐雜成了資安例行維運的大挑戰。
以上可體會,將大量資安警訊的監督工作委外是較理想的作法,不僅處理平日例行資訊,也能完整追查威脅動向。吳耿宏親自講解一個典型的鑑識實務流程,企業內的一個端點發現一個不明的背景常駐程式,發現其機碼與正常機碼不同,進一步追查發現該程式產生的時間點與來源來自一個 Excel 試算表,顯然是個巨集型 (macro) 惡意程式,追查試算表開啟的檔案名稱與連結,最終發現是電腦接收到一封標題為「健保勞保法規更新」的惡意電子信件,點按信件中的連結,造成一連串的資安威脅發展。
此僅為一個追查,若企業內有 20 個人收到相同信件?有成千上百台電腦要查核是否已被感染,就成了一大難題。
鑑識是一功課通報則是另一功課,中芯數據在監控、鑑識外也能給予企業建議,當以何種方式向主管機關通報更為適切,例如台積電之前的廠內資安事件,不僅對主管機關通報,也須向廣大投資者、媒體、社會大眾交代。
最後吳耿宏提醒,企業確實花許多資源與心力在資安上,然多數是在前段的偵測、中段的分析層面,對於後段的處理層面則容易輕忽,唯重視與補強此層面才能擁有完整防護。