無懼駭客風起雲湧 恃企業做好萬全準備

國際資安教父米戈．希伯能(Mikko Hypponen)分享2014台灣資安決策指標。

前言：
不久前，台灣驚爆CryptoLocker加密勒索，連帶凸顯芬安全(F-Secure)確實洞燭機先(註：其實驗室在2012年即察覺加密勒索蹤跡)；因此日前由芬安全舉辦之「風起雲湧，站在巨人肩上看2014資安網戰」論壇，得以獲致熱烈迴響。

本文：
在20多年前，米戈．希伯能(Mikko Hypponen)靠著關閉老大病毒一戰成名，爾後成為全球首屈一指的「病毒獵人」；日前，現任芬安全首席研究長的米戈，特別來台參與「風起雲湧，站在巨人肩上看2014資安網戰」論壇，期盼給予台灣企業第一手資安防護建議。

這場論壇，除了有國際級名師米戈助陣外，亦有來自政府、公協會、媒體、產業、法律等領域的指標性人物相挺，集結眾人經驗與知識，共同勾勒2014資安防禦之藍圖，值得企業多所參考。

信譽評比機制  為值得採納的防護利器

應芬安全台灣區代理商翔偉資安科技之邀，分享「2014台灣資安的決策指標：雲端大資料挑戰的新管理哲學」的米戈，點出現今最大威脅感染途徑，已從過去的電子郵件、移動式儲存媒體，演變為上網；駭客運用諸如黑洞弱點管理平台等垂手可得的工具，據此滲透知名網站，進而掌握使用者之連網狀況(如採用何種瀏覽器)，再經由瀏覽器漏洞，感染並操控使用者電腦。

在此前提下，只要使用者疏於執行系統更新、未善盡資安保護，就極易成為駭客禁臠。一方面，駭客運用CryptoLocker加密使用者的硬碟資料，或偽裝成智財權保護組織封鎖使用者的電腦螢幕，迫使受害者寸步難行，無奈只好繳付「贖金」以求解鎖；二方面，隨著「比特幣」(Bitcoin)交易模式盛行，擁有Bitcoin的使用者，也可能慘遭駭客竊奪電子錢包，或是無端淪為駭客朝向他人「挖礦」的幫兇。

更有甚者，伴隨雲端技術與行動上網普及，也間接為進階持續性滲透攻擊(APT)形塑易於滋生的溫床，使駭客強加勒索的行徑更易得逞；而台灣遭受APT或僵屍網路(Botnet)攻擊的密度一向領先全球，尤其不能掉以輕心。

米戈建議，台灣企業欲明哲保身，一方面需要回歸務實面，進行優化安全政策、資料備份及系統更新等基礎工作，二方面則需援引適當的安全工具予以保護。但他提醒，由於新一代的駭客攻擊或APT機碼，鮮少摻雜執行檔，看似無甚異狀，已愈來愈難憑藉防毒軟體等傳統工具加以偵測，因此用戶必須思考採用新的防護工具，譬如信譽評比機制，才足以洞悉駭客蹤跡。

誤中生死符？  凸顯台灣資安意識待加強

芬安全實驗室亞洲區保安顧問吳樹謙表示，綜觀2013年1~11月台灣病毒攻擊排行榜前十大，包括位居第一的X97M.Mailcab(Marco Viruses)、第二的Backdoor.W32，以及第五的Trojan-Dropper:W32/Peed.gen!A，皆是5年前即已現身的老病毒，豈料現今仍是極為盛行的生死符，著實令人意外。

深究老病毒肆虐主因，乃在於台灣仍有大量Windows XP電腦，未進行隨時更新所致。對此吳樹謙認為，既是老問題，其實不難解決，意謂台灣企業亟需將舊的作業系統汰換更新，尤其微軟已宣布2014年4月將終止Windows XP更新，更凸顯此事迫在眉睫。

除老病毒外，吳樹謙也點出2014年值得留意的新威脅，即是經由Adobe Flash/Reader、Java外掛程式散播的新攻擊，只因Windows 7已使駭客難以再從OS層面下手，導致瀏覽器躍居風險最大的感染源，企業不可不防。

各界拋磚引玉  傳達豐富資安觀念

在此次論壇中，另有來自政府、社團法人、法律、產業等各界人士發表精闢見解。行政院科技會報辦公室執行秘書黃彥男指出，行政院根據美國全面性國家網際安全倡議(CNIC)規劃設立資安會報辦公室，藉以執行資安事件之情報蒐集、G-SOC二線監控，並將技服中心轉型為資安專案管理(SPMO)角色，循序推動台灣資安策略聯盟合作模式的成形。

台灣健康資訊交換第七層協定協會理事長顏志展表示，醫療界以往予人保守封閉形象，在科技落實上後知後覺，然隨著電子病歷推動，為了確保資訊交換及個資的安全，即需強化資安防護。

堪稱為席間神秘嘉賓的中華電信基金會執行長林三元，認為台北市Botnet密度冠於全球，顯見台灣資安觀念不足，ICT預算配置亦值得商榷，以致資安防護成熟度遠不及日、韓；當務之急需由政府出面支持，導正公務機關、學校、企業直至民眾的電腦使用行為，並與譬如芬安全等資安廠商廣結善緣，引進適當防護工具，如此方能有效抗禦資安威脅。

林鴻文律師則從法律觀點，闡述企業面對個資法的因應策略；他建議企業應從「面對個資法訴訟」思考，針對法條明訂務必落實的11項安全維護措施，逐項審視自身究竟留下哪些書面資料，而這些資料是否滿足法院或主管機關的檢驗需求，再設法強化各項文書的證據力，避免自說自話、白忙一場。

緯創軟體資訊管理總處處長姜葆實，分享威脅風暴下的毒、駭、漏、備、告等五防術，建議企業不宜輕忽任何的毒或駭，並需落實備份工作，確保資料不落地，並完整管控軟體使用，即有助於趨吉避凶。

論壇席間，也透過IT經理人總主筆施鑫澤與產業經營管理者對談，分享諸多實務上所見所聞。創意電子資訊管理處處長孫天相建議，透過個人防火牆管控，即使員工私自攜帶小型3G或WiMAX路由器，意圖連接外網輸送機密出境，亦可有效攔阻。

華碩雲端技術長林純忠建議，個人應養成關閉手機Wi-Fi或藍牙功能的習慣，以避免出門在外遭不宵人員竊取個資得逞。

亞太電信資訊中心資訊長張躍騰，則認為企業資安人人有責，尤其必須獲得高層支持，所以該公司不厭其煩廣貼宣傳標語，並於每年針對全體員工推行資安教育訓練與測驗，道理便在於此。

總括而論，此場論壇打破傳統「產品宣傳大會」模式，藉由知識、經驗、觀念及案例的傳遞，為的正是促使企業IT管理者正視資安議題，參透「駭客不想讓你知道的秘密」，終至降低企業受駭風險。