FireEye:關鍵基礎設施為國家根本 一旦癱瘓則後果不堪設想
「關鍵基礎設施可說是國家的本,內容涵蓋金融、電信、製造、物流運輸、醫療、油水電等多種幾乎每天或隨時都需要的社會功效機能,一旦遭受資安攻擊而癱瘓其後者不堪設想。」FireEye 亞太區系統工程副總裁黃獻順點出關鍵基礎設施的資安重要性。

關鍵基礎設施是透過營運技術 (OT) 設備與網路進行維運控制,要確保 OT 網路安全須注意三個關鍵點,一是網路是否有分段隔離;二是遠端存取控制時是否有更嚴謹的認證,如雙因子認證 (2FA);第三點更是重要,必須時時監視控制系統與網路是否被攻擊入侵,必須在攻擊者(駭客、惡意程式)得手前加以阻絕。
黃獻順進一步分享實際侵駭案例,2013 年伊朗的駭客入侵紐約州一座水壩並取得系統控制權;2014 年 9 月挪威的石油天然氣產業遭受該國有史以來最大的協調性 (coordinated) 網路攻擊。
2017 年貨櫃船運公司馬士基 (Maersk) 遭受勒索軟體 NotPetya 的攻擊,17 個進出貨碼頭營運停擺,貨櫃車因此大排長龍,許多貨物的交期也大延宕,單以馬士基而言即因此衝擊損失達 3 億美元,整起事件的損失更高達 100 億美元。
對於營運設施遭攻擊,有人認為只要對線路實施實體隔離(air gap,氣隙,意指斷線不連線)即可避開威脅,但美國國土安全局 (DHS) 國家資安與通訊整合中心 (NCCIC) 的總監 Sean McGurk 直言那是虛假的安全感 (false sense of security)。
另外有人認為實施安全儀表系統 (SIS) 即可達到防護,然而 FireEye 於 2017 年 12 月的報告首次指出 Triton 攻擊框架能攻擊安全儀表系統,顯見導入安全儀表系統也非萬無一失。

NotPeyta 勒索軟體帶來如此大損失,且勒索軟體仍持續在演變中。黃獻順說明,勒索軟體過去像廣散發送、任意攻擊的垃圾信件,而今逐漸變成精準攻擊的魚叉釣魚 (spear phishing),過去任意選擇勒索對象其回報低,而今精準選定高報酬對象加以入侵。
另外勒索軟體是把使用者的資料加密不讓其存取,直到支付贖金方能解密,反過來也有所謂的網路勒索 (Cyber Extortion),若不支付贖金則將你的資料公諸於世,使人喪失隱私。

最後黃獻順歸結,首先企業與組織必須體認到攻擊者具有先進的威脅技術;二是要了解以特徵為基礎的威脅偵測技術並不足夠,還需要有更智慧型的偵測;三是當專注於偵測攻擊者所使用的威脅技法 (TTP) 以便能增強防禦;四是盡可能縮短威脅的回應時間以降低衝擊損失;五是企業與組織的防護營運中心 (SOC) 需針對營運技術型攻擊擬定特定的劇本 (play book) 並勤加演練。
黃獻順也建議從三方面強化關鍵基礎設施資安,包含時時進行資安評估與測試,建立營運技術的資安威脅情資,以及強化各種防護技術。三方面也各自能展開多個細項工作,如實施網路鑑識、針對控制系統流量建立 SIEM 規則、進行攻擊與滲透測試等。期望各位都能完善保護關鍵基礎設施。