专家传真－高科技业屡成骇客目标 资安思维应转守为攻

面对资安风险，企业应针对全球骇客攻击方式进行模拟演练，才能化被动为主动，强化防御体质。图／本报资料照片

台湾在半导体、5G 通讯、电动车与物联网等未来新兴科技发展上，具备研发、生产及零组件供应能力，在国际供应链中扮演重要地位。然而，近期国内高科技制造业遭骇客攻击事件频传，让资安即国安问题再次受到瞩目。台湾一直是全球骇客的攻击热点，尽管企业已开始着眼于处理如勒索软体或病毒等特定攻击形式，这些却可能只是攻击者众多攻击技巧中的一招半式。企业真正需要思考的关键，应是建立「骇客思维的模型」，从攻击者的视角来进行资安策略规划、长期对抗网路威胁。

一般而言，企业在遭遇攻击后，第一时间总会直觉想到防毒软体或资安设备为何没有用。现实是，不管是针对式的进阶持续性威胁攻击（Advanced Persistent Threat，APT），或是任何具经验的攻击者，都会对目标进行情报搜集，来达成长期潜伏或规避探测。这当然也包含研究绕过企业防护或监控的各种方式，让一般的防御无法生效。

根据我们长年进行红队演练的经验、及对近期重大资安事件的观察，制造业容易遭到骇客锁定有四大主要弱点：

首先，科技制造业多半属于跨国企业，这样规模的企业暴露在网际网路的服务相当多，一旦这些服务存在可利用的弱点，容易形成破口或直接造成资料外泄。其二则来自第三方供应链厂商。这种预设信任的模式存在高度风险，加上对于整体资讯资产可视性的不足，以致于无法全盘检视信赖关系，造成内部软硬体易遭入侵的资安风险。

其三是对于攻击者不够了解，制定了缺乏韧性的防御策略。举例来说，因为认为制造机台或OT环境缺乏较完善的解决方案，而决定将防守策略设定为「决战境外」，将攻击阻挡于企业网路外部。这种方式却可能导致内部网路、内部营运网路架构、或核心系统防护极为脆弱，只要攻击者成功进入内部网路，便会对企业造成极大的威胁。最后，是资安意识的缺乏。提供售后服务的员工电子邮件信箱，会接收大量外部消费者的需求，使其容易成为社交工程（Social Engineering）攻击的破口、甚至会有针对高阶主管进行的钓鱼攻击，进而直接取得公司重要权限与资讯。

企业必须留心：有时攻击事件发生，并非入侵的手法诡谲难以抵御，相反地，像是电子邮件、网路钓鱼等传统手法，利用人性的弱点，仍然可以成功渗透进企业的防护网。当万物皆联网，成为万物皆可骇。在台湾高科技制造业迈向智慧制造的今日，骇客攻击与威胁型态也变得更难以防范。近几年，国内企业对于资安的意识与资源的投入逐渐提升，许多企业不再只是仰赖单一的资安设备或服务，而是跟随国际趋势导入威胁情资、行为分析、端点监控与回应等一时之选的解决方案。然而，资安是一场攻守双方资讯不对称的战争，防御者不清楚攻击者的思维跟手法，仅凭借着自己的知识与想像进行防守，很可能受到局限。

孙子兵法有言，「知己知彼，百战不殆」，骇客攻击中敌暗我明，我们认为台湾高科技制造业要思考的是建立一个长远的防御战线。唯有更加了解攻击者，透过长期针对全球骇客攻击方式进行模拟演练、时常盘点风险之所在，才能化被动为主动，持续强化企业的防御体质，而不仅是头痛医头、脚痛医脚。

在资安领域的「红队演练」，是以企业营运最关键的资讯资产作为演练标的，并模拟组织型骇客的攻击模式：透过外部情报搜集、取得外部系统权限、在企业内部的系统进行移动、持续取得更多内部伺服器权限、破解密码，最终达到企业指定的关键资产执行演练情境。而企业透过高强度且精准的演练过程，除了立即知道对营运造成的重大风险外，借由掌握可被入侵的路径，来厘清各个节点在防御策略规划、管理或技术实作的问题，进而能在面对真正骇客的攻击时将影响降到最低。

只要企业对骇客存有战略价值，组织型的攻击就不会停歇。期许台湾高科技制造业在检视资安防御策略时，都能以「骇客的思维」不断的挑战自身企业的弱点，定期盘点资源与风险的关系，优先将资源投注在真实而非主观的威胁，免于受害之余更能协防全球供应链的整体安全。