网路数位战方兴未艾 骇客攻击三种级别

（KPMG安侯企业管理（股）公司董事总经理谢昀泽。图／KPMG提供）

KPMG安侯企业管理（股）公司董事总经理谢昀泽分析，国际网路骇客集团化运作已经多年，约略可分为以网路正义为号召，企图瘫痪特定网站的「社团级」；以攻击取得财务利益为目的，偷取机密或勒索公司的「商业级」；及有政府为后援甚至指挥的「网军级」骇客集团。

俄罗斯与乌克兰的战争方兴未艾，过往传统战争通常是「三军未发、粮草先行」，而现代战争却是「粮草未至、网战已启」。

谢昀泽表示，其实台湾每天都在面临网军级骇客的攻击，无硝烟的战争早已开打多时。网军级骇客有能力发动网路数位战争，而目标通常就是油水电关键基础设施、高科技厂商与国家政府机关等「滩头堡」。其中又以俄罗斯、以色列等国家网军，曾多次瘫痪敌国核电厂、水库等，最为知名。

KPMG资安实验室副总经理林大馗说明，俄罗斯骇客参与大规模有计划性的入侵台湾企业行动，应该从2016年金融ATM被骇事件开始。

林大馗表示，依过去几年与俄罗斯骇客交手的经验，这群来自「战斗民族」的骇客，除了与其它国际骇客集团同样偏好针对含金量高的系统，进行进阶持续性攻击（APT）、分散式服务阻断攻击（DDoS）外，还有一些「俄行俄状」的特征，例如攻击在地化、部署超前化、媒宣垄断化。

所谓攻击在地化，主要是应用网路无国界的特性，国际骇客经由网路共通的通讯协定、程式及系统漏洞等方式，可以在不同的国家地区横行无阻。但这群俄罗斯骇客，能入侵防护严密的高端系统，或偷取更敏感的机密资料，还具备「攻击在地化」的研究能力。例如聘专人研究台湾使用者电脑独有的「注音输入法」，就知道ji32k7au4a83这段在一般人看起来无意义的英文，是「我的密码」的注音键盘符号，也是许多台湾系统管理者所喜欢的密码。

其次是部署超前化，利用不为人知的零时差漏洞，结合精准式的鱼叉式钓鱼手法，突破实体网路隔离的限制，安装恶意程式并长期潜伏，等待适当的时机发动突袭。此外，一般骇客于攻击成功后立即扬长而去，而俄罗斯骇客不但会自行清理战场，抹除入侵的轨迹，更会留下一个或多个后门，方便后续再次继续使用。

第三则为媒宣垄断化。俄罗斯骇客常借由瘫痪官网、重要基础服务、或利用社群媒体散布假讯息，利用不对称资讯影响民众对政府或企业的信心，或造成所谓的「带风向」效果，意图制造混乱并增加处理的困难度。

林大馗建议，台湾企业可以透过即时更新系统、加密机敏资料、监控组织内部网路流量与使用者行为、不要仰赖单一品牌设备、不要信任网路隔离等重点，自行或委外快速检视与评估组织的资安曝险程度。

以即时更新系统而言，几乎每天都会有新的作业系统、网路设备的弱点被发掘通报，维持系统的最适更新，将有助于减少被骇客攻击成功的机率。

在加密机敏资料方面，近期常见国际企业内部网路被骇客攻破后，机敏资料遭受窃取并被公开。建议可透过防止资料外泄的解决方案，加密机敏资料，让骇客拿的到、也打不开。

另也需监控组织内部网路流量与使用者行为，过去企业信任组织内部网路，而不去监控是否有异常流量。近期国内外重大资安事件经验显示，透过监控并识别是否有异常内部流量，可有效强化组织整体网路安全。

而另一大重点是切勿仰赖单一品牌设备。组织采用单一品牌网路防护设备，虽便于管理，但若未能及时进行弱点修补，也提供了骇客长驱直入的机会。合理的多层次纵身防御，才是符合安全的部署方式。

最后则是切勿信任网路隔离。在国内外发生的资安事件显示，如炼油管路、POS系统与金融关键系统等，过去都信任网路隔离，而未对该类型网路强加管控，建议可透过如零信任架构、网路视觉化与异常监控的措施，针对敏感系统与设备进行监控。

谢昀泽提醒，资料外泄、网路财务盗失、系统停用，是传统的资安事件常见的损失；而现代的网路攻击大战，造成大规模停水停电、金融服务与供应链严重断链、甚至数位与实体战争结合，已经是新现实，如何侦测、预防、防御及回应这些接踵而来的资讯风险，更是数位国家与企业，共同要面对的课题。