你越打我越強 台灣大數據主動防禦網攻
台灣每個月遭受多達2,000萬至4,000萬次的境外網攻,政府單位不是過濾掉而已,而是蒐集起來分析,累積大數據,現在正往「主動式防禦」的方向前進。
文、攝影/賴于榛 (中央社記者)
解放軍動作頻頻,除了實質的共機擾台,台灣面臨的許多網路攻擊,也多半質疑是中國所為。如何因應,是全台灣都想問的問題。
專訪那天,行政院資通安全處長簡宏偉身著俐落乾淨的短袖藍襯衫,態度親和,但訪問一起頭,他轉換模式,語速調整為1.5倍速,手頭沒有特別拿出資料,回答卻都是不假思索。
面對中國駭客攻擊頻傳,簡宏偉表示,國際法允許資安防禦,不允許資安攻擊,根據國外一些報告,普遍會被點名進行資安攻擊的國家,常聽到就是俄羅斯、中國、北韓、伊朗,以及過往的伊斯蘭國。
簡宏偉說,台灣每個月遭受多達2,000萬至4,000萬次的境外網攻,因此政府持續常態性演練網路攻防,也聘請約24名電腦專家故意攻擊政府系統,達到演練成效。
攻防演練全年不間斷 邀學生加入合法攻擊
他說,常態性的網路攻防演練,近年來在時間與對象上都有擴大,像是以往每年最後一季才演練對政府機關的攻擊,但後來發現,有些政府機關取巧,學會應變方式,最後一季透過直接把網路關掉等方法,避免演練失誤,因此為達到實質演練效果,常態性攻防演練拉長為一整年不間斷。
第二個擴大,簡宏偉說,2018年6月《資通安全管理法》上路後,資安演練納管對象除了原先的政府機關,也增加了八大類關鍵基礎設施,以及政府捐助的財團法人等單位,演練範圍擴大,讓政府整體資安因應更完整。
除此之外,簡宏偉表示,過往的演練只找政府單位人才進行,近年來轉變模式,增加一年一次讓在學學生報名,一旦通過相關測試、能力符合,就會請學生加入合法攻擊政府的行列,某種程度也是在培養資安人才。
除了常態性網路攻防演練,簡宏偉說,也會有不定時的社交工程演練,透過發電子郵件、手機簡訊測試公務員甚至機關首長的資安意識,「至今效果都蠻好的」。
沒有被打假的! 遭攻擊也能積成大數據
簡宏偉說,任何組織、單位都可能遭遇資安攻擊,沒有人能做到不被打穿,損失一定會出現,因此台灣正往「主動式防禦」的方向前進,包含:一、將防禦陣線往外推至國境範圍;二、敵對勢力一啟動攻勢,台灣就能攔截,而非等被打到才還手;三、就算遭成功攻擊,也能快速控制損失範圍的能力。
簡宏偉表示,傳統的資安防禦都是反應式防禦,遭受攻擊後通報、應變、復原,但前提就是要被攻擊,因此他才會提主動式防禦,盼防護資源不要被過度耗損。
至於要如何做到主動式防禦,簡宏偉說,台灣每個月面對成千上萬次的攻擊,政府單位不是過濾掉而已,而是蒐集起來分析,累積大數據,現在已經有達成的能力。
政府資安越見完善 駭客轉攻委外供應商
簡宏偉說,相較企業與一般民眾,政府資安做得相對不錯,目前主要被攻擊的都是政府機關資訊系統的委外供應商。
他表示,有些委外供應商接了30、40個政府單位的案子,容易被駭客鎖定,「打一間委外供應商,等於30、40個政府單位被攻擊,何必一個個攻擊機關」?
簡宏偉說,從去年至今都有類似現象,國外也發現同樣情況,因此為增強委外供應商的資安防護,資安處決定改變做法,由資安處團隊加入政府單位每年對委外供應商的稽核程序,提供稽核準則,最重要的是維持稽核深度的一致性。
這個改變,也減輕業者負擔。簡宏偉說,現行情形,政府單位每年可以對委外供應商做稽核,但若一個委外供應商接了10個政府單位,一年就要被稽核10次,因此資安處讓委託同一委外供應商的所有單位做共同稽查,並從旁協助,提升稽核能量,業者也能避免量能都耗在稽核上。
低級錯誤不要犯 個資外洩人為疏失多
簡宏偉說,境外攻擊不斷,不過只要政府機關、關鍵基礎設施等資安都能做好,像是網站設計不良這種低級錯誤不要再犯,注意人為疏失等,他相信80%的攻擊都能擋下。
簡宏偉表示,今年9月上旬以前的重大資安事件共11件,其中九件都是人為疏失導致個資外洩,包含使用Google表單卻將權限設定錯誤等等,這類並非資安問題,而是人員的資安意識必須要內化到日常工作,最基本的包含帳號密碼不該一致,或為民服務網站若可上傳資料,也要限制檔案類別等等。
除了政府相關單位要加強資安意識,簡宏偉也說,有規模的企業,資安防護有一定水準,但中小企業、新創企業等如何加強資安,這部分會再想辦法給出可以參照的指引,目前也已請台灣電腦網路危機處理暨協調中心(TWCERT/CC)設置如何應對勒索軟體防護專區,協助企業應對。
簡宏偉也說,民眾維護資安的方法,最簡單就是多注意密碼,不要亂開來路不明的電子郵件,勿亂點連結,也盡量別將個資放上網路,因為這通常是有去無回。
本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。