正在瀏覽這篇文章的你,很可能正被看不見的腥風血雨所籠罩——這不是危言聳聽,因為第三次世界大戰的戰場,極有可能就發生在網路上。網路與數位化的浪潮勢不可擋,面對資安環境高速變遷帶來的新興風險,我們又該如何自保防身?來聽聽資安專家——中山大學資訊管理系陳嘉玫教授怎麽說!
方便與安全,兩者不可兼得也
註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。
「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。
資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。
客制化誘餌與駭客聯盟,讓威脅更升級
科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊。
過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。
「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。
如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍(俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊。
零時差漏洞,得之可得天下?
提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式(patch)之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。
不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。
為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。
白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。
守護資安,人人有責
雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是IT(Information Technology)或MI((Manager Information System)部門的責任,但守護資安,應是所有使用者的責任。
「資安其實就是攻與防。知己知彼,才能百戰百勝。」
陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。
除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。
本文授權轉載自科技大觀園。
