晴時多雲

自由廣場》從太陽風網路戰談資安

◎ 葉俊雄

路透社去年十二月十三日報導,駭客入侵多個美國政府機構。資安公司火眼(FireEye)在五天前宣稱,有駭客意圖竊取他們開發的攻擊性工具,進而查出此乃太陽風(SolarWinds)公司的獵戶座網路管理軟體被植入後門所致,因而揭露此惡意行動。遭駭者包括美國九個政府機構(含屬性敏感的國土安全部、國家安全局、能源部)和上百家民間企業,以及多國的公私部門。

事故爆發後,美國國安部門立即要求所有機構將獵戶座系統斷線或關機。微軟也連手火眼和GoDaddy建造「扼殺切換(kill switch) 」,以切斷惡意軟體和駭客的通訊管道。但其傷害極為慘重,而復原工作十分艱鉅,可能要數年之久。

據專家研判,駭客技術老練、行事謹慎,採用多種不同的技術(如將惡意行動混在太陽風的正常活動裡),具避開偵測的能力,留下很少線索,可能早在2019年十月就已入侵太陽風的軟體開發更新平台。駭客採用供應鏈攻擊模式,先攻擊資安防護較弱的廠商,再藉由其更新機制,將惡意程式散佈至下游衆多的客戶群,既省時省力又有效率及隱密。目前的資料大都指向俄國情資單位的網軍小組所為,此實為一場無煙硝的網路戰(cyber warfare)

台灣時時遭受中共網軍的無形攻擊,也經常受到中共飛機及飛彈的有形威脅,情勢萬分險峻,所幸蔡總統高度重視國安與資安。有鑑於此,筆者提出數項芻議,以供政府、決策者及先進參考,期盼能對台灣的資安體質有所助益。

一、國家的資安政策是整體國安的一環。政府宜深入思考資安核心要務,如攻防兼顧的佈局、現代化防衛體制與體質,深化國際交流與合作。可責成某資安單位,仿效美國國家標準與技術研究院(NIST),訂定技術規範/準則,供政府機構遵循和民間企業參考。也可要求屬性敏感機構的資安單位,必須取得有公信力的資安認證(如ISO 27001),並將這些單位的資安成熟度推向成熟模式的最高階。

二、依自由時報報導,規劃的數位發展部之功能包括「強化跨機關資安聯防及應變機制 … 積極扶植台灣資安產業,政府與民間串成公私協力的資安國家隊。」期盼政府能儘速有效能地落實這些良好構想。

三、網軍的興起改變了資安生態,國家機密資料、核心技術與關鍵基礎設施的保護更具挑戰。對於境外敵對勢力在網際空間的惡意行為,必須嚴格究責,如英國政府打算立法禁止特定供應商參與智慧城市的投標或系統運作。

四、建構/強化國家資通安全環境/架構必須遵循一些重要原則,如最小授權、零信任、網路分隔。也要嚴格地監控網路,並做行為分析(如網路流量、進出信息、異常連線)。此外,可引進尖端技術(如AI、數據驅動防護)、採用多因子認證、嚴格檢查設定以消除人為錯失,經常資料備份、病毒掃描和軟體更新。

五、資安人才的培育必須攻防並重。建置相當規模且備有各種攻防工具的虛擬育才環境,經常訓練,不時進行紅藍攻防對戰,以打下紮實的基本功夫。

六、資安防護是全體國民的責任。政府可結合民間共同製作易懂有趣的影片及舉辦活潑生動的說明會,來介紹資安(含網路詐欺及假訊息)以提升國民的資安意識和基本知識。

政府必須嚴肅地看待此場太陽風網路戰,資安是國安的關鍵一環。政府必須綜觀全局,嚴謹擬定國家資安的總體策略和佈局,攻防技能並行發展,人才養成與資安意識的提升不容輕忽。

(作者曾任國家高速網路與計算中心主任)

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選