FireEye：關鍵基礎設施為國家根本 一旦癱瘓則後果不堪設想

「關鍵基礎設施可說是國家的本，內容涵蓋金融、電信、製造、物流運輸、醫療、油水電等多種幾乎每天或隨時都需要的社會功效機能，一旦遭受資安攻擊而癱瘓其後者不堪設想。」FireEye 亞太區系統工程副總裁黃獻順點出關鍵基礎設施的資安重要性。

關鍵基礎設施是透過營運技術 (OT) 設備與網路進行維運控制，要確保 OT 網路安全須注意三個關鍵點，一是網路是否有分段隔離；二是遠端存取控制時是否有更嚴謹的認證，如雙因子認證 (2FA)；第三點更是重要，必須時時監視控制系統與網路是否被攻擊入侵，必須在攻擊者（駭客、惡意程式）得手前加以阻絕。

黃獻順進一步分享實際侵駭案例，2013 年伊朗的駭客入侵紐約州一座水壩並取得系統控制權；2014 年 9 月挪威的石油天然氣產業遭受該國有史以來最大的協調性 (coordinated) 網路攻擊。

2017 年貨櫃船運公司馬士基 (Maersk) 遭受勒索軟體 NotPetya 的攻擊，17 個進出貨碼頭營運停擺，貨櫃車因此大排長龍，許多貨物的交期也大延宕，單以馬士基而言即因此衝擊損失達 3 億美元，整起事件的損失更高達 100 億美元。

對於營運設施遭攻擊，有人認為只要對線路實施實體隔離（air gap，氣隙，意指斷線不連線）即可避開威脅，但美國國土安全局 (DHS) 國家資安與通訊整合中心 (NCCIC) 的總監 Sean McGurk 直言那是虛假的安全感 (false sense of security)。

另外有人認為實施安全儀表系統 (SIS) 即可達到防護，然而 FireEye 於 2017 年 12 月的報告首次指出 Triton 攻擊框架能攻擊安全儀表系統，顯見導入安全儀表系統也非萬無一失。

NotPeyta 勒索軟體帶來如此大損失，且勒索軟體仍持續在演變中。黃獻順說明，勒索軟體過去像廣散發送、任意攻擊的垃圾信件，而今逐漸變成精準攻擊的魚叉釣魚 (spear phishing)，過去任意選擇勒索對象其回報低，而今精準選定高報酬對象加以入侵。

另外勒索軟體是把使用者的資料加密不讓其存取，直到支付贖金方能解密，反過來也有所謂的網路勒索 (Cyber Extortion)，若不支付贖金則將你的資料公諸於世，使人喪失隱私。

最後黃獻順歸結，首先企業與組織必須體認到攻擊者具有先進的威脅技術；二是要了解以特徵為基礎的威脅偵測技術並不足夠，還需要有更智慧型的偵測；三是當專注於偵測攻擊者所使用的威脅技法 (TTP) 以便能增強防禦；四是盡可能縮短威脅的回應時間以降低衝擊損失；五是企業與組織的防護營運中心 (SOC) 需針對營運技術型攻擊擬定特定的劇本 (play book) 並勤加演練。

黃獻順也建議從三方面強化關鍵基礎設施資安，包含時時進行資安評估與測試，建立營運技術的資安威脅情資，以及強化各種防護技術。三方面也各自能展開多個細項工作，如實施網路鑑識、針對控制系統流量建立 SIEM 規則、進行攻擊與滲透測試等。期望各位都能完善保護關鍵基礎設施。