2021 年 8 月 25 號,美國總統拜登 ( Joe Biden ) 在白宮會見了蘋果 ( Apple )、Google、微軟 ( Microso )、摩根大通 ( JP Morgan )、和 IBM…等各家全美大型企業的 CEO 及教育界高層,共同商討如何透過全國的努力解決已成為燃眉之急的美國資安危機。會議後,除了由政府發起的多個政策提議外,微軟、Google、蘋果、Amazon 及 IBM 等業者也都作出了具體承諾。其中,Google 及微軟將在未來 5 年內分別投入 100 億及 200 億美元的資金,來推動供應鏈、程式碼與網路架構的安全性。蘋果也計畫建立一個新專案以改善該公司技術供應鏈的安全,並與其在美國逾 9,000 家的蘋果供應鏈者合作,大規模地採行安全訓練及認證、漏洞修復、及緊急意外應變等措施。IBM 也宣布加入資安人才培養,準備在未來 3 年內訓練出 15 萬名具備資安能力的專業人員。根據白宮的估計,包括私人企業和政府機構,目前全美還缺少近 50 萬名資安人才,而這也是為什麼各大企業除了改善自家安全能力以外,也承諾要全力協助進行教育訓練。
是甚麼樣迫切的資安危機讓全美從政府,企業到民間紛紛出手,以具體行動積極回應呢?
刻不容緩的全球危機
去年年底,美國政府機構與企業遭遇有史以來最嚴重的駭客入侵。美國網路平臺管理業者 SolarWinds 遭到多個駭客組織入侵,在 9 個月內,美國超過 1 萬 8 千多個企業和政府機構,包括國務院、司法部、財政部,甚至連微軟都表示旗下 Windows 作業系統的原始碼也在這次的攻擊之中被竊取。在這次史無前例的駭客攻擊前,SolarWinds 並不是一個大家耳熟能詳的大型科技公司,這家總部在德州首府奧斯汀 ( Austin ) 的軟體公司以發展企業管理網絡、系統和資訊基礎設施的資源監控與管理在業界有一席之地。依據公司官網所公布的採用企業名單中,財星 ( Fortune ) 500 大企業就有 425 家採用它們的產品,包含美國前幾大電信商、國防單位、軍火商、政府機關、大學院校都是它的客戶。旗下客戶也遍布全球:從北美、歐洲,到印度、中國、日本與台灣都有採用它們的產品。
去年底針對 SolarWinds 的駭客攻擊一開始是被資安業者 FireEye 在 2020 年 12 月 8 號所發現的,他們表示公司內部測試資安的軟體工具被駭客外洩。5 天後,FireEye 進一步揭露是 SolarWinds 的網管監控軟體 Orion 被置換植入木馬程式,在客戶下載更新後駭客便會利用更新的程式碼駭入用戶的資訊系統。因全球有超過 3 萬個公私立機關企業使用 Orion 監控軟體,即便 SolarWinds 產品被駭揭露的當天是周日,但 CISA ( Certified Information Systems Auditor ,國際電腦稽核師)仍在當日發布緊急通知,要求美國聯邦機構立即關閉被植入木馬的 SolarWinds 系統,而媒體也揭露財政部、商務部和國務院等重要機關遭到駭客入侵的消息。隔天 SolarWinds 股價跳空大跌 17%,在之後長達數個月的調查中更發現 SolarWinds 早在 2019 年的 9 月就已經受到有計畫的入侵。駭客先入侵公司的內部網路,不動聲色的做了很多探查後才在隔年的 2 月將木馬程式部署到該公司系統環境,但 SolarWinds 卻直到 2020 年的 12 月才知道有這個安全漏洞的存在。
駭客從入侵 SolarWinds 的單一產品最後導致超過 1 萬 8 千多個企業客戶受到感染,整個影響過程透過對產品和公司的信任圈一路擴大,因為每家企業都有許多的供應商,彼此之間因生意往來,通常存在信任關係。
其次,在多家供應商中,總會有資安人員不足或資安防護有破口的廠商。再者,如果攻擊者的目標不是單一公司,是整個縱向或橫向的產業鏈,整個產業鏈的主要供應商就是一大目標。這個針對供應鏈攻擊的常見攻擊手法主要有兩種: (1) 駭客透過入侵特定軟體開發公司或委外人員電腦,進行竄改程式或下載連結等行為,造成大範圍感染與擴散;(2) 駭客入侵軟體開發廠商後,以開發商作跳板,再滲透客戶環境,利用客戶信任的管道進行散播。在近 20 年前的第一起著名供應鏈事件後,國內外類似的攻擊事件層出不窮,雖然供應鏈造成的損失金額難以估計,但根據專業機構的統計,從 2015 年 2 月至 2019 年 6 月全球發生的軟體供應鏈攻擊事件達 216 件,但之後短短的一年之內供應鏈攻擊數目卻成長超過 4 倍,高達 929 件。即便全球企業去年花在網路安全的資本支出年增一成至 530 億美金,但去年一年間被盜取的資訊量卻比過去 15 年之間的總和還多,資安攻擊儼然已成為全球企業及政府機構的燃眉之急。
勒索攻擊:付錢了事?
2021 年 5 月初,美國最大燃油輸送管線系統業者 Colonial Pipeline 遭到勒索軟體攻擊,在 5 月 7 號的事發凌晨,一位控制中心的員工看見一封要求以加密貨幣付款的勒索電郵,當天傍晚執行長就決定把整個公司的輸油管線全部關閉。由於 Colonial 每天運送多達 1 億加侖的汽油、柴油、航空媒油與家用燃料油,也負責美國7個主要機場的燃油供應和多達整個美國東岸 45% 的燃料供應,美國在兩天後就宣布進入緊急狀態 ( State of Emergency ) 。這是 Colonial 成立 57 年以來第一次把所有的輸油管道全部關閉。事後發現駭客在事發前一週即利用一組過期員工帳號登入公司虛擬專用網路 ( Virtual Private Network ),入侵了公司系統。為了保持燃油的正常供給,美國運輸部也破例讓當地燃油業者使用一般道路運送燃油,但因為供給短缺,美國每加侖的平均油價還是因這起事件在 7 年以來第一次漲破三美元。攻擊 Colonial 的駭客不僅滲透了公司網路、加密了系統檔案,也下載了大量公司的機密資料作為威脅。Colonial 在不得已的情況下支付了 4 百多萬美金的加密貨幣作為贖金。
同一個月,全美最大的肉品供應商之一的 JBS USA,也透露遭到駭客入侵癱瘓了它在美國最大的五座工廠的運作,駭客同時干擾了公司在英國和澳洲的運行。公司不得已支付了 1 千多萬美金的贖金息事寧人。2021 年 3 月,全美第七大的保險公司 CAN Financial,也因為有大量資料被駭客竊取,支付了 4 千多萬美金的贖金。近兩年來,全球勒索攻擊事件大增,光今年上半年跟去年同期相比就年增超過 10 倍,每週平均攻擊次數高達近 15 萬次。而根據資安業者統計,過去兩年全球企業有高達八成遭受過勒索軟體的攻擊,其中因攻擊而資安受損的企業有近四成選擇支付贖金以救回資料,其中以美國企業平均支付的 630 萬美金作為贖金最多,加拿大企業也付了 530 萬美金。雖然多數受害企業相信付錢了事後公司在兩天內即可恢復正常運作,但實際情況是超過四成被攻擊的公司營運中斷,36% 發生嚴重斷線,因勒索攻擊實際損失營收和流失客戶者各有 28% 和 21% 。根據專家估計,今年全球受到勒索軟體攻擊的損失上看 200 億美金,資安問題和勒索攻擊儼然已成為許多企業必須嚴肅應對的經營風險。
遠距工作、物聯網、元宇宙對資安帶來更大的挑戰
許多企業願意花錢息事寧人的態度,也讓食髓知味的駭客們變本加厲,資安攻擊已演變成大型國際化的組織犯罪。其中主導 SolarWinds 攻擊的俄羅斯駭客集團 Nobelium 從 2015 年開始就長期、有系統性地駭入全球資訊供應鏈。近期以勒索軟體攻擊崛起的 DarkSide、REvil 等國際犯罪集團等更是驚動多國政府,REvil 則是在美國安全單位與多國盟友聯手合作下,藉由滲透它的網路基礎設施,將其圍捕殲滅。同時因疫情興起的遠距工作,使得個人及企業對於整合通訊及雲端作業的需求大增,從視訊會議、遠端操作、到群組即時通訊…。一般公司為了在疫情下讓員工遠距工作,維持公司營運而大量使用網路通訊也使得駭客針對這些通訊設施的攻擊機會大增。另一方面,未來日漸普及的物聯網環境將使得原本較不依賴新興網路科技的傳統產業如製造、物流、運輸、零售等更容易暴露在駭客的攻擊下。
除了上述資安問題外,近期火熱的元宇宙 ( Metaverse ) 概念也可能成為隱私與資安的黑洞。元宇宙對於虛擬 VR/AR的軟硬體應用要求大幅提升,也勢必要搜集大量使用者的眼部活動、表情、語音、生物特徵或周遭環境等數據。因此不論是穿戴裝置遭駭客入侵,或是元宇宙入口平台的數據遭到濫用,例如虛擬資產被竊盜等…資安風險到了元宇宙時代反而會更加嚴重,更需要精密週全的資安防護。
“零信任”( Zero Trust ) 的資安新時代
根據趨勢科技 ( Trend Micro ) 的調查,全球近三分之一的企業決策者認為資訊安全是當今經營環境中最大的商業風險,而且有超過六成認為企業必須能有效管控資安風險才能保持競爭優勢。尤其是在企業普遍採取遠距雲端作業後,資安威脅的演變更是難以預測,防禦策略也必須有所調整。過往「企業內部網路的人、事、物就是安全可信任」這類的資安思考都必須嚴格的重新檢視。在現今的資安環境,對於任何網路存取的要求都必須以不可信任為前提,唯有經過嚴格認證後,才可以依權限存取。
這個新興的“零信任”( Zero Trust ) 概念主張資安信任是必須持續評估認證,要主動以駭客及勒索攻擊方的角度來檢視目標(自身)的供應鏈脆弱環節,及時的部署、規畫適當資安機制。企業也必須學會如何有效的控制風險,而不是追求百分之百的資安防護以消滅風險。決策者必須先評估企業最有價值的數位資產 ( digital assets ) 是甚麼,如何有效的加以保護。在這個資安漏洞層出不窮的世界,有效率、持續性的風險控管和評估是值得思考的做法。
在這個全球加速數位化的世代,專家預估在 2025 年,全球資安犯罪造成的損失可能高達 10.5 兆美元,資安洩露的巨額成本也將推動企業資安的相關資本支出大幅成長至每年 4,600 億美金。企業決策者如何運用網路的新興科技開發新商機、提升營運效率,同時又有效的控制資安風險,將是未來企業經營的重大考驗。