首页 > 最新消息 >[关键评论文章分享] APT27骇客组织对台宣战,政府与关键基础设施该如何抵御信息安全攻击?

最新消息

2022-08-18

[关键评论文章分享] APT27骇客组织对台宣战,政府与关键基础设施该如何抵御信息安全攻击?


自称APT 27的骇客组织于8月4日晚间上传一支影片到YouTube,声称将针对台湾政府以及关键基础设施发起一连串瘫痪网路行动。更在三天后于第二支影片中表明对台湾的行动已经告一段落,说其已对内政部警政署、交通部公路总局、台湾电力、总统府、金智洋科技、财金信息公司、神脑国际等组织进行了不同程度的攻击。

APT 27更提到,它掌握有台湾设备的零日漏洞、政府资料和超过20万的连网设备资料,威胁台湾日后若再挑衅,APT 27就会使用现有劫持的资源来发动攻击。

这对台湾政府以及关键基础设施,可能会有什么影响?

我们可以从这次攻击中看到,许多攻击的目标为政府或企业的委外厂商,虽然对政府及企业本身是不具有一定性的影响,但这也直接造成人民的恐慌,使人民开始担忧起国家的信息安全问题。

毕竟,我们都不想看到台湾成为下一个乌克兰,因信息安全防护不足导致国家陷入经济与生活困难。但事实上,目前这些攻击对整体国安及企业安全并不会造成绝对的伤害,毕竟这些网路与系统是与关键网路分离的。

APT 27骇客组织可能会有的许多攻击方式。其中包含网路、社交工程、DoS等攻击手法,相关的关键基础设施应加强持续监控所有威胁可能的接触点,避免关键基础建设受到网路攻击造成更巨大的损失。现阶段许多与民生相关的媒介或是政府机关对外传递信息的媒体,都需要更加的注意是否会造成攻击点的产生,毕竟这些都是在整体信息安全上最脆弱的一个环节。

为什么关键基础建设如此的重要,正如生活中不能没有水跟空气一样,其关键性在于维持人民的基础生活所需,若是关键基础建设遭受到攻击而瘫痪,对民生及经济都是一莫大的打击,我们也无法想像打开水龙头没有水、没有电力提供的生活。

这些组织的信息安全团队,应该采取什么防护?

长期以来,委外服务是最难管理的,相关的服务仅限于服务提供,却往往在信息安全的议题上都涉足不深。原因是什么呢?成本!

例如,广告服务的推播,实质上更注重在内容的呈现,而不会著重在后面推播的系统中应该采用什么样的信息安全规范。IT及OT的生态中,都会面临到如此重要的关键问题,委外单位连线存取、软体更新、硬体维护、远端控制等等,这些都是信息安全团队需要关心的,毕竟层出不穷的事件都一再的呈现这事实。

那么,什么需要注意的?

  1. 委外单位的信息安全规范需更明确,包含连线控制、软体更新、推播限制及边界管制等等的信息安全规范。

  2. 企业需将委外服务纳入企业信息安全的管控范围内,避免因为委外厂商的因素造成企业及社会损失。

  3. 需要更明确定义资料交换的流程,采用零信任的基础进行资料交换,所有的档案都不信任,透过严谨的规范及技术控制唯一能使用的范围。

  4. 深入盘点可以接触到外界的档案(即使是备份,也需要确认备份的档案是乾净的),避免当骇客发起攻击时成为被利用的武器。

  5. 定期更新,虽然是老调长谈的措施,但却有许多的系统无法更新到最新的版本,这著实都成为骇客的主要武器。

  6. 应用程式弱点监控,了解企业内部应用程式的管控,避免存在弱点的应用程式持续被使用。

  7. 限制性软体,其中也包含了非法软体及所谓的PUA软体,企业应避免非法的软体使用,因为它并不是存在于可控制的范围内。

台湾政府应该如何回应这类威胁?

对于现阶段政府单位所面对到的问题来说,台湾政府已经达到高标准在处理问题,也许我们会认为政府网站无法运作是一个很严重的问题,但其问题并不是被入侵,而是利用网路攻击的方式使网站回应瘫痪:就好像是先前的疫苗系统一样,当太多的请求发送到网站时系统无法处理这么多的请求,而造成的短暂服务问题。

这类的事件都需要时间进行回复,所以我们应该相信政府的能力,但针对企业来说,是否已经准备好足够的应对措施去有效防御相关攻击事件,企业内部究竟还存在多少被劫持的资源等著被骇客利用,即便有了备份、高可用性措施,都应该更注意在每个接触点上的有效防护。

政府及企业的网站、系统,都存在许多资料交换的服务,这些关键服务也需要被检视,是否能够完全的信任民众或企业交换或上传的资料,其中会不会包含恶意程式导致攻击的事件产生;此外,政府机关中也采用了许多的委外服务,这些都需要在信息安全的范围内进行规范,去避免真正的攻击事件瘫痪我们的关键基础设施,避免委外的资源变成攻击者利用的武器。

如何才能有效地避免攻击事件发生?

恶意组织最常使用的攻击方式就是寻找弱点(vulnerability),或是利用钓鱼邮件(phishing)等等的特性诱使人员执行其攻击性武器,可能是经由恶意连结下载,亦可能是经由恶意程式来执行弱点利用,这都是我们需要注意的关键问题,毕竟没有一个解决方案能保证百分之百的防护到所有的攻击;但是,假使我们在一开始就不信任所有的档案交换,那么是否会有所不同呢?

网路攻击手法日新月异,以零信任为架构才能打造安全的网路环境。

零信任意旨不相信任何的文件并假设所有文件与设备都带有威胁,而威胁更有可能从四面八方而来。因此所有文件与设备都需要以零信任原则谨慎处理。企业与组织最需要的信息安全解决方案是能在不改变原有信息架构下,快速建立以零信任为核心的新世代信息安全防护机制,同时保护远端办公机制的安全。

以零信任为架构的DEEP CDR(档案无毒化)技术就是针对攻击提供百分百防护的关键;在一个零信任的基础下,提供资料交换服务时,洗净所有不应该存在的因素,例如:ActiveX元件、巨集或是恶意连结等等的攻击武器,当档案进到企业内部时,就是绝对乾净的一个状态,不具有所有威胁的因素。

而且,这是在攻击阶段中的前期防护,并不是在恶意程式进入到企业环境后才开始进行处理,就像疫情期间我们都不希望把病毒带进家中,所以尽量在进门前就能彻底消毒一样。

最后,如同政府于2021所推出的「信息安全即国安2.0战略」,不论政府、企业或人民,我们每个人都应重视信息安全的重要性并且落实安全防护。

原文连结:https://www.thenewslens.com/article/171422