FireEye：關鍵基礎設施為國家根本 一旦癱瘓則後果不堪設想

「關鍵基礎設施可說是國家的本，內容涵蓋金融、電信、製造、物流運輸、醫療、油水電等多種幾乎每天或隨時都需要的社會功效機能，一旦遭受資安攻擊而癱瘓其後者不堪設想。」FireEye亞太區系統工程副總裁黃獻順點出關鍵基礎設施的資安重要性。

關鍵基礎設施是透過營運技術(OT)設備與網路進行維運控制，要確保OT網路安全須注意三個關鍵點，一是網路是否有分段隔離；二是遠端存取控制時是否有更嚴謹的認證，如雙因子認證(2FA)；第三點更是重要，必須時時監視控制系統與網路是否被攻擊入侵，必須在攻擊者（駭客、惡意程式）得手前加以阻絕。

黃獻順進一步分享實際侵駭案例，2013年伊朗的駭客入侵紐約州一座水壩並取得系統控制權；2014年9月挪威的石油天然氣產業遭受該國有史以來最大的協調性(coordinated)網路攻擊。

2017年貨櫃船運公司馬士基(Maersk)遭受勒索軟體NotPetya的攻擊，17個進出貨碼頭營運停擺，貨櫃車因此大排長龍，許多貨物的交期也大延宕，單以馬士基而言即因此衝擊損失達3億美元，整起事件的損失更高達100億美元。

對於營運設施遭攻擊，有人認為只要對線路實施實體隔離（air gap，氣隙，意指斷線不連線）即可避開威脅，但美國國土安全局(DHS)國家資安與通訊整合中心(NCCIC)的總監Sean McGurk直言那是虛假的安全感(false sense of security)。

另外有人認為實施安全儀表系統(SIS)即可達到防護，然而FireEye於2017年12月的報告首次指出Triton攻擊框架能攻擊安全儀表系統，顯見導入安全儀表系統也非萬無一失。

NotPeyta勒索軟體帶來如此大損失，且勒索軟體仍持續在演變中。黃獻順說明，勒索軟體過去像廣散發送、任意攻擊的垃圾信件，而今逐漸變成精準攻擊的魚叉釣魚(spear phishing)，過去任意選擇勒索對象其回報低，而今精準選定高報酬對象加以入侵。

另外勒索軟體是把使用者的資料加密不讓其存取，直到支付贖金方能解密，反過來也有所謂的網路勒索(Cyber Extortion)，若不支付贖金則將你的資料公諸於世，使人喪失隱私。

最後黃獻順歸結，首先企業與組織必須體認到攻擊者具有先進的威脅技術；二是要了解以特徵為基礎的威脅偵測技術並不足夠，還需要有更智慧型的偵測；三是當專注於偵測攻擊者所使用的威脅技法(TTP)以便能增強防禦；四是盡可能縮短威脅的回應時間以降低衝擊損失；五是企業與組織的防護營運中心(SOC)需針對營運技術型攻擊擬定特定的劇本(play book)並勤加演練。

黃獻順也建議從三方面強化關鍵基礎設施資安，包含時時進行資安評估與測試，建立營運技術的資安威脅情資，以及強化各種防護技術。三方面也各自能展開多個細項工作，如實施網路鑑識、針對控制系統流量建立SIEM規則、進行攻擊與滲透測試等。期望各位都能完善保護關鍵基礎設施。