Search
Close this search box.

從近期駭客攻擊案例檢視供應鏈!AWS 更新資安韌性觀念:「被打時不能被直搗黃龍,要快速止血和回神」

國際半導體產業競爭激烈,也將台灣推向世界核心,雖然帶動經濟動能成長強勁,但日益增加的資安挑戰也成為產業新風險。在 TechOrange 科技報橘於新竹舉辦的「2024 H1 資安實戰演練大會」中,特別邀請 AWS 專業架構師團隊總監楊仲豪進行資安總體趨勢探討,為擁有綿長供應鏈的半導體產業建構資安防禦策略,避免企業承受財務與商譽損失。

半導體產業因諸多設備老舊不易更新,以及缺乏統一資安標準,因此容易成為駭客下手的目標。楊仲豪從 2023 年全球的資安事件切入,進行駭客攻擊策略分析,並總結目前資安從業人員的觀念盲點。他特別呼籲資安人員需要更新資安韌性的觀念:「被打時不能被直搗黃龍,要快速止血和回神。」黃龍指的是企業最重要的資產,止血和回神代表減少災害擴散、回復重要的核心運作,意即除了仰賴 VPN 與防火牆外,牆後的核心系統與重要資料,也必須依照風險與重要程度做好保護,才不會一下就被竊取企業最機敏的資訊。

資安攻擊手法多,新技術與人性漏洞交互利用

楊仲豪總結幾項攻擊趨勢,其中可以看到駭客在攻擊上會反鑽人性的信賴漏洞,以及既有系統缺失,再加上新興技術的交互運用,來最大化攻擊的成果。

「駭客瞄準資料作為攻擊目標,而騙人的話術依舊有效,」根據 Verizon 2023 最新資安報告指出,有近 17% 的漏洞是因為駭客使用社交工程,利用人性本善的弱點竊取重要資訊,甚至透過生成式 AI 模擬更像真人、個人化的場景對話。更甚者,有駭客透過 DeepFake 語音造假,就曾造成某中東企業高達 350 萬元美金的損失。

AWS 專業架構師團隊總監楊仲豪分享,根據 Verizon 2023 最新資安報告指出,有近 17% 的漏洞是因為駭客使用社交工程,利用人性本善的弱點竊取重要資訊。

在技術層面上,憑藉著機器不會累也不會睡覺、可以自動化執行攻擊的特性,讓駭客的攻擊可以不分日夜而且容易擴大規模,特別是國定假日人力短少時,更是攻擊的高峰期。另外,有 86% 的系統入侵是透過竊取的憑證以獲得存取權限,與添加後門來維持存取權,並且利用漏洞在系統內做橫向移動。

甚至,現在暗網上也可以下載到常用的系統帳號與密碼設定,讓駭客可以做入侵嘗試。許多案例也顯示,駭客從入侵到系統、植入勒索軟體後,會長期潛伏才發動攻擊,這也讓企業更加防不勝防。

駭客也會看準企業不一定會隨時為系統更新、上補丁的特性,讓攻擊成本與困難度下降。現在 VPN 與安全設備漏洞仍然是駭客的最愛,他們會鑽入漏洞後再進行遠端控制,進而造成企業損失;駭客也形成一條專業分工的產業鏈,包含販售帳密、提供勒索軟體與進行攻擊等行動,都包含在這條產業鏈中。

楊仲豪特別提到,知名網路犯罪組織 LockBit 將攻擊重點轉向製造供應鏈,原因即為製造業若停機,就會損失極大成本。於是 LockBit 便看準供應鏈上下游公司既多且廣、網路各有相連但是資安能力參差不齊的弱點,開始進行入侵勒索、竊取機密的行為。

打破企業資安的「神邏輯」,建立 CIO/CSO 必備的「資安韌性」思維

楊仲豪強調,資安人員不是葉問,因此企業必須透過合宜的政策、流程盤點的基礎工程,才能建立資安韌性,抵禦日新月異的駭客攻擊手法。

身為企業的資安人員,面對如此龐雜的威脅,楊仲豪強調:「要從駭客的思維去想怎麼防護,重新思考駭客每一步的獵殺,因為現在很多思維都還是建立高牆在外頭,而忽略後面的阻殺能力。」反之,CIO/CSO 需要去思考企業皇冠上的珠寶(意即重要資產)是什麼,並衡量暴露的風險高低與可控性,才能真正瞭解企業內部資產防護的優先順序,真正踏出塑造企業資安韌性的第一步。

「CIO/CSO 的心態必需要與時俱進,從專注在前段的 IT 設備、防火牆到擁抱雲端與新興科技,」楊仲豪說。現在越來越多駭客利用雲端的攻擊工具,因此若不熟悉駭客的獵殺步驟,便不能料敵。另一方面,雖然雲端工具被當作武器,但在防禦端也可以做即時偵測甚至協助地端掃描,並且協助企業資料備援,抵禦日益多變的駭客攻擊手法。

楊仲豪分享,企業做資安的「神邏輯」應該要被打破,守護網路安全的責任不只在資安人員手上,資安人員也不可能像葉問一樣以一打十。資安韌性的建立必須透過合宜的政策、流程盤點的基礎工程,才能落實資安到業務單位與各部門;至於營運業務的機敏資料則要做好加密與落實資料治理的訓練,才能讓產業在面對危機與風險時,仍能逆風前行。