IoT、AI與GDPR為黑客添柴火 資安情勢更加暗潮洶涌

回顧2016、2017年期間，稱得上是資安的多事之秋，就算缺乏IT背景的一般普羅大眾，可能都對喧騰一時的ATM盜領(lǐng)、證券商集體遭DDoS(分散式阻斷服務(wù))攻擊勒索，及WannaCry勒索蠕蟲等等事件朗朗上口。相形之下，2018年至今已過大半，表面看來，除了歐盟GDPR、臺灣資通安全管理法等新的法遵議題外，似乎未出現(xiàn)令一般人高度關(guān)注的焦點事件，也許有人因而認(rèn)為，專家們苦口婆心提醒注意的資安問題，其實不像預(yù)期般嚴(yán)重。

持平而論，對政府或企業(yè)等組織而言，與黑客的對抗是一場無休止的戰(zhàn)爭，不管臺面上的漣漪是大或小，可以肯定的是，臺面下必定暗潮洶涌，黑客會默默觀察人們的應(yīng)用情境變化，仔細(xì)思索新的切入機會、新的攻擊武器、新的獲利模式，適時發(fā)動奇襲。換言之不管當(dāng)下氛圍的演變?yōu)楹?，防守方都沒有掉以輕心的理由，更何況現(xiàn)在大家正如火如荼迎接物聯(lián)網(wǎng)(IoT)、人工智能(AI)、工業(yè)4.0等等新世代，舉世萬物無論是IT、OT(操作科技)乃至一般民生消費應(yīng)用，十之八九都將連網(wǎng)，意謂黑客的發(fā)揮舞臺只會愈來愈寬廣、而非限縮，政府與企業(yè)皆應(yīng)嚴(yán)陣以待。

資安專家預(yù)期，令不少企業(yè)為之恐懼的勒索軟件，今后仍將持續(xù)進(jìn)化，變得更加難以預(yù)防，因此企業(yè)必須認(rèn)真思索勒索病毒威脅的因應(yīng)之道。

況且事實上，2018年的信息安全世界，也絕對稱不上平靜無波；單單在上半年，便有不少值得密切關(guān)注的事件。

首先是層出不窮的路由器攻擊事件。5月期間，某家臺灣品牌的路由器驚傳遭駭，肇因于韌體上的漏洞，被竄改DNS設(shè)定，可將用戶導(dǎo)向黑客掌控的惡意DNS服務(wù)器，藉此收集用戶的憑證；到了6月，相關(guān)事件愈演愈烈，先是驚傳多家廠牌的路由器遭受VPNFilter感染，以及Prowli惡意采礦活動肆虐，此后還有號稱Mirai的變種「Satori」新殭尸病毒現(xiàn)身，讓許多路由器受害。

上述攻擊事件情節(jié)不一，災(zāi)害程度也不同，例如Satori會入侵你的路由器，輾轉(zhuǎn)控制大量IoT裝置，繼而取得DDoS攻擊火力；Prowli會在被駭設(shè)備上植入采礦程序，從而將合法網(wǎng)站的流量導(dǎo)至惡意網(wǎng)站，讓黑客可出售流量、達(dá)到盈利目的；至于VPNFilter會把HTTPS加密傳輸降級為HTTP，抹除攻擊蹤跡，讓黑客好整以暇進(jìn)行諸如Rootkit、竊資等惡意活動。以受害者自身立場來看，VPNFilter的嚴(yán)重性顯然最高。

但無論如何，這些攻擊活動的矛頭，都不約而同指向路由器，意謂隨著人們上網(wǎng)時間愈來愈長，且連網(wǎng)裝置愈趨多元化，黑客體認(rèn)到與其瞄準(zhǔn)一般人未必長時間使用的個人計算機做攻擊，不如直接針對路由器下手，如此一來不管你的連網(wǎng)裝置為何，通通難逃他的魔掌；這般惡意行為的后續(xù)發(fā)展脈絡(luò)，相當(dāng)值得審慎觀察。

其次是某大知名訂房系統(tǒng)遭駭，其服務(wù)器被植入惡意程序，導(dǎo)致業(yè)者在全球的飯店客戶一起遭殃，有10余萬名住客的個資遭竊；其實在這起事件的不到一個月前，就已出現(xiàn)頗受矚目的個資竊盜事件，受駭對象是兩家加拿大的銀行，不過情節(jié)稍有不同，因為黑客另外還搭配勒索行為，揚言如果銀行不支付贖金，就會把大量客戶個資公諸于世，據(jù)網(wǎng)絡(luò)防御AI公司Darktrace的研究人員研判，黑客有可能是利用魚叉式網(wǎng)釣攻擊(Spear Phishing)手法攻進(jìn)這些銀行的系統(tǒng)。

接下來所談的攻擊事件，苦主一樣是銀行。繼過去轟動一時的孟加拉央行、臺灣遠(yuǎn)東銀行等SWIFT遇駭事件后，SWIFT攻擊再度發(fā)生，對象是智利的Banco de Chile、馬來西亞央行，但兩者結(jié)局不同，前者因而損失1千萬美元，后者在察覺疑似有SWIFT外匯轉(zhuǎn)帳的異狀發(fā)生后，隨即啟動風(fēng)險控制措施，未讓黑客得逞。

但問題來了，看似應(yīng)該固若金湯的交易接連失守，且以今年的兩起個案來看，癥結(jié)都在于先有員工計算機遭入侵，才讓黑客建立灘頭堡，有機會藉由銀行內(nèi)網(wǎng)的橫向擴散，朝向SWIFT系統(tǒng)步步進(jìn)逼；足以顯示，其實銀行與一般其它企業(yè)、甚至政府機關(guān)應(yīng)當(dāng)有所體認(rèn)，現(xiàn)今單靠傳統(tǒng)閘道式防御，很難把黑客阻絕于大門之外，因此必須拋開100%有效預(yù)防這種不切實際的想法，轉(zhuǎn)而做好自己一定被駭?shù)那疤峒僭O(shè)，認(rèn)真思索應(yīng)該如何強化內(nèi)網(wǎng)安全偵測與應(yīng)變能力，才是正解。

另不容忽略的重大資安課題，便是GDPR法遵?，F(xiàn)在大多數(shù)人應(yīng)該都知道，已在今年5月25日正式上路的該法，堪稱是有史以來最嚴(yán)苛的個資保護(hù)規(guī)則，不僅對于敏感性個資的定義范圍甚為廣泛(例如包含IP位址、Cookie)，且形成觸法的可能性很多，比方說因為個資保護(hù)不力而致惡意的第三方竊取，使用歐盟公民個資但已脫離當(dāng)初約定目的，未配合處理個資持有人主張的遺忘(刪除)、可攜或更正等應(yīng)有權(quán)利，縱使個資未外泄但安全防護(hù)的水平欠佳或未完善保存?zhèn)€資的使用記錄，以及一旦爆發(fā)個資外泄資安事件、未能在規(guī)定的72小時內(nèi)通報主管機關(guān)及因事件受害的當(dāng)事人，只要踩到這些地雷，都可能被認(rèn)為違法。

更可怕的是，萬一被歐盟當(dāng)局認(rèn)定違反GDPR，倘若情節(jié)重大，最高可能被裁處2千萬歐元(約新臺幣7.2億元)、抑或年度全球營業(yè)總額4%的巨額罰款，罰則之重不僅為全球其它類似法案所罕見，且依臺灣多數(shù)企業(yè)皆偏向中小型規(guī)模的現(xiàn)實而論，只要不慎挨罰，絕對會嚴(yán)重到動搖國本，萬萬不能不當(dāng)一回事。

在此前提下，許多資安業(yè)者在最近一年多時間，紛紛以GDPR法遵為主題，舉辦多次研討會或論壇，意在提醒與歐盟有較多生意往來的企業(yè)，必須及早從技術(shù)面、管理流程面、組織架構(gòu)面、甚或企業(yè)文化面著手，傾全力做好必要的個資盤點工作，從而針對不足之處，積極強化個資保護(hù)機制。

有趣的是，GDPR話題的延燒，也意外給予黑客莫大靈感，進(jìn)而釀成讓企業(yè)哭笑不得的事件。比方說不久前有一家保加利亞的資安廠商Tad Group，揭露一種名為Ransomhack的新式勒索攻擊，黑客不像以前入侵后執(zhí)行檔案加密，而是玩得更大，竊走企業(yè)個資后進(jìn)行勒索，揚言企業(yè)若拒不支付贖金，就公開這些個資內(nèi)容，讓該企業(yè)因而吃上歐盟的巨額罰鍰。

基于前述種種事件，顯見黑客攻擊不僅未銷聲匿跡，反而入侵手法更見細(xì)膩、獲利模式更見高明，企業(yè)唯有不斷加強防御，才能明哲保身。